L’Analisi Forense, in informatica, è il processo d’indagine che mira a individuare dati di rilievo giuridico all’interno di device elettronici o nella rete. Il risultato di quella che in inglese è conosciuta come Digital Forensics o Informatica Forense. L’informatica forense si compone di una serie di macro-aree d’intervento che constano di:
-
repertamento
-
analisi dei dati contenuti nelle memorie digitali
-
studio e osservazione delle memorie sulle reti
-
trattamento dei circuiti elettronici digitali a scopo d’indagine
-
reporting legale.
In Europa, e in particolare in Italia, l’Analisi forense è attualmente regolamentata dal GDPR (Regolamento Generale sulla Protezione dei Dati), che prescrive tra le altre cose:
- l’obbligo di notifica entro 72 ore di eventuali violazioni informatiche subite dall’azienda
- l’obbligo di dotarsi di competenze e strumenti in grado di ricostruire quanto accaduto e valutarne l’impatto, ossia di mettere in atto un adeguato incident response.
Il tutto è inoltre aggravato dal carattere sanzionatorio per il mancato adempimento delle stesse, che può arrivare a raggiungere il 4% dell’intero fatturato. Al di là delle normative, diviene ora necessario approfondire in cosa consiste effettivamente l’analisi forense informatica, di quali strumenti e procedure si avvale e quali sono le linee di demarcazione tra questa e la cybersecurity.
Sommario degli argomenti
- L’Informatica forense origini e metodi
- Differenza tra analisi forense e cybersecurity
- Standard ISO/IEC 27035 e 27037: di cosa si tratta
- ISO/IEC 27035
- ISO/IEC 27037
- Principi per una corretta gestione della prova informatica
- Requisiti di una prova digitale propriamente detta
- Le figure-chiave nella gestione delle prove digitali
- Conclusioni
Il termine forense deriva dal latino “forensem” e sta ad indicare l’insieme delle metodologie atte a ottenere elementi probatori da presentare in un tribunale.
Le declinazioni della scienza forense abbracciano quasi ogni ambito dello scibile umano: dalla psichiatria all’economia, dall’ingegneria alla linguistica e, naturalmente, l’informatica.
L’analisi forense, dunque, risulta applicabile in qualunque campo si ipotizzi sia possibile commettere un reato.
Per quanto riguarda il caso specifico delle Digital Forensics, se ne cominciò a parlare a partire dal 1984, allorquando il laboratorio scientifico dell’FBI e altre agenzie investigative americane iniziarono a sviluppare programmi da utilizzare nell’esame dei dati presenti nei computer. Nello stesso anno, sempre negli USA, venne istituito il Computer Analysis and Response Team (CART), incaricato d’intervenire ogniqualvolta fosse stato necessario l’utilizzo di metodi d’indagine computerizzati.
Per concludere questo breve excursus storico, basterà sottolineare come gli sviluppi della disciplina abbiano riscontrato un’impennata soprattutto negli anni ’90. Nel ’94, infatti, il Dipartimento di Giustizia degli Stati Uniti ha stilato le prime linee guida in materia, confluite poi negli standard internazionali ISO/IEC 27035 e ISO/IEC 27037.
In Italia, invece, il 1996 ha visto la nascita del Nucleo Operativo di Polizia delle Telecomunicazioni, e l’istituzione, nel ’98, del Servizio di Polizia Postale.
Ad oggi, l’analisi forense non è più soltanto appannaggio delle procedure giudiziarie, ma, vista la sua appetibilità come strumento di protezione e resilienza a servizio delle aziende, viene comunemente sfruttata anche in ambito commerciale.
Ma cosa differenzia l’analisi forense informatica dalla cybersecurity?
Vediamo di fare chiarezza.
Quando si parla di analisi forense e cybersecurity si sta essenzialmente parlando di due facce della stessa medaglia, nello specifico:
- la sicurezza informatica mira a prevenire qualsiasi intervento non autorizzato sul traffico delle informazioni, gestendo de facto procedure tali da garantirne l’integrità.
- l’analisi forense, d’altro canto, ha come obiettivo l’evidenziazione del dato informatico in qualità di elemento probatorio a fini giuridici. In sostanza essa fotografa un’istantanea della sicurezza di un sistema in un determinato momento d’interesse.
Come si può facilmente evincere, l’una non sostituisce né si sovrappone all’altra, ma ognuna delle due, servendosi delle medesime metodologie e dei propri strumenti, coopera attivamente nella lotta al cybercrimine.
Standard ISO/IEC 27035 e 27037: di cosa si tratta
L’ISO (International Organisation for Standardization) è l’Organizzazione internazionale che si occupa di definire norme di tipo tecnico che verranno assunte come standard a livello internazionale.
Per ciò che concerne l’analisi forense informatica si deve far riferimento ai già citati modelli:
- ISO/IEC 27035
e
- IS0/IEC 27037.
Entrambi appartengono alla serie di standard 27000, prettamente incentrata sulla gestione della sicurezza informatica.
Analizziamo ora nel dettaglio le principali caratteristiche di ognuna delle due norme di riferimento: così facendo sarà anche più agevole comprendere gli step che ineriscono lo svolgersi di un’indagine forense in ambito digitale.
ISO/IEC 27035
Prima ancora di poter procedere all’analisi forense vera e propria, è necessario stabilire dei prerequisiti affinché questa possa essere espletata.
In questo senso, l’ISO/IEC 27035, noto anche come SIEM (Information security incident management), si occupa di definire le linee guida per l’individuazione di procedure e controlli al fine adottare un approccio metodologico nella gestione degli incidenti informatici.
Tale iter si compone di 5 fasi essenziali:
-
Pianificazione e preparazione
-
Scoperta dell’incidente e notifica alle appropriate funzioni aziendali
-
Valutazione dell’evento e relativa decisione se classificarlo come rischio o meno
-
Incident response
Il fine è quello di registrare tutti i log delle attività all’interno del network aziendale: così facendo si avrà la possibilità di ottenere e conservare informazioni sulle operazioni implicite o esplicite all’interno del sistema.
ISO/IEC 27037
Lo standard ISO/IEC 27037, dal titolo: Guidelines for identification, collection, acquisition, and preservation of digital evidence, si concentra sulle fasi di identificazione, raccolta, acquisizione e conservazione di potenziali prove digitali.
In altri termini:
definisce la metodologia da applicare durante l’analisi forense vera e propria, presupponendo che i dati da cui estrapolare le prove siano già in formato digitale.
Principi per una corretta gestione della prova informatica
Come illustrato nel paragrafo precedente, lo standard ISO/IEC 27037 consta di molteplici fasi.
Qui di seguito le esamineremo nel dettaglio una ad una.
Identificazione
concerne la ricerca, il riconoscimento e la documentazione della potenziale prova. Questa, a sua volta, può assumere essenzialmente due forme: fisica o logica; deve identificare correttamente sia dispositivi di elaborazione che di memorizzazione, nonché i possibili dati volatili presenti al loro interno
Raccolta
in questa fase ci si occupa della rimozione dei dispositivi precedentemente identificati dalla loro locazione originaria al fine di trasferirli in ambiente controllato. E’ necessario documentare accuratamente lo stato dei dispositivi (se accesi o spenti), nonché l’intera successione di azioni compiute, compreso il trasporto;
Acquisizione
in questo frangente viene effettuata la riproduzione del dispositivo in una copia forense. L’identità tra fonte originale e copia, che rispecchia il livello di accuratezza della riproduzione, dovrebbe essere verificabile tramite l’utilizzo di una funzione di verifica attendibile, come la funzione di hash. Nel caso in cui non fosse possibile procedere con la copia forense, bisognerà effettuare una acquisizione logica del sistema (a livello di file o partizione), tenendo presente che alcuni dati, come i file cancellati (slack space) potrebbero non venire copiati;
conservazione
questa è una fase trasversale a tutte le altre. Ha inizio già durante la raccolta e l’acquisizione, in modo da garantire che in nessun frangente la potenziale prova digitale possa essere alterata involontariamente o volontariamente.
Inoltre, durante ogni fase, sarà necessario produrre un’apposita reportistica che consti di:
- tracciabilità: elencazione dei reperti con tutte le relative specifiche
- priorità d’intervento: pianificazione dell’ordine di trattamento dei reperti
- imballaggio: modalità di protezione dell’integrità e la riservatezza dei supporti digitali e dei dati acquisiti
- trasporto: organizzazione delle modalità di spostamento dei reperti
- ruoli nel passaggio: tracciamento delle varie prese in carico dei reperti con annessa motivazione.
Requisiti di una prova digitale propriamente detta
Finora ci si è occupati dei processi che portano all’acquisizione di una prova digitale, ma quali requisiti deve soddisfare quest’ultima per essere definita tale?
Qui di seguito ne presentiamo un esaustivo elenco:
-
Pertinenza: la prova deve contenere dati pertinenti, ossia utili ai fini dell’indagine, che ne giustifichino, dunque, l’acquisizione
-
Affidabilità: la prova dev’essere nient’altro che un risultato riproducibile della copia dell’originale
-
Sufficienza: essa deve contenere tutte le informazioni del caso
-
Verificabilità: la documentazione a supporto deve far sì che terzi possano essere in grado di verificare le attività svolte
-
Giustificabilità: è necessario riuscire a dimostrare che l’acquisizione di una determinata prova sia stata dettata dalle migliori scelte possibili.
Le figure-chiave nella gestione delle prove digitali
La Digital Forensics vede coinvolte tre figure principali cui spetta la gestione dell’elemento digitale di carattere probatorio:
- DEFR (Digital Evidence First Responder) è un soggetto qualificato cui è stata concessa l’autorizzazione ad agire per primo in caso d’incidente.
Si occupa di identificare, raccogliere e acquisire le prove - DES o (Digital Evidence Specialist), oltre a poter adempiere a tutti gli incarichi del DEFR, il DES possiede un’ampia gamma di ulteriori conoscenze specialistiche, quali, tra gli altri, sistemi operativi e mainframe
- Incident Response Specialist: notoriamente è una figura interna all’azienda e si occupa del primo intervento post–incidente informatico.
Spesso la sua figura può coincidere con quella del responsabile IT.
Conclusioni
Nel corso della trattazione si è discusso dell’analisi forense sotto molteplici punti di vista: dall’inquadramento storico a quello normativo, passando per i suoi principi d’applicazione.
Potremmo riassumere il tutto analizzando le varie operazioni a livello macro. Da questa prospettiva, essa opera secondo queste tre modalità:
-
acquisire le prove senza alterare o modificare il sistema informatico su cui si trovano,
-
garantire che le prove acquisite su altro supporto siano identiche a quelle originarie,
-
analizzare i dati senza alterarli.
Si tratta, insomma, di applicare al mondo digitale il modus operandi che comunemente viene associato a una scena del crimine del mondo reale.
- Autore articolo
- Ultimi articoli
Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.
