Chi è il Digital Forensic Expert

Con l’espansione dei crimini in ambito informatico, l’informatica forense si è sviluppata, dagli anni Ottanta in poi, come metodologia per il recupero e analisi delle prove digitali.

Al giorno d’oggi, si tratta di un vero e proprio ramo della Scienza digitale forense, che si occupa del trattamento di dati digitali di qualsiasi tipo allo scopo di rilevare prove informatiche utili all’attività investigativa.

Tra i professionisti esperti di criminalità digitale emerge il digital forensic expert (in italiano “informatico forense“), di cui approfondiremo la sua figura in modo dettagliato all’interno di quest’articolo.

1. Cosa fa di preciso il digital forensic expert?
2. Come viene acquisita una prova digitale?
3. La relazione tecnica
4. Gli strumenti del mestiere
5. I principi giuridici
6. Come diventare digital forensic expert?

Il digital forensic expert è la figura professionale, esperta di crimini informatici, che si occupa principalmente di identificare, preservare e analizzare le informazioni contenute all’interno di svariati tool e device con potenzialità di memorizzazione.
Questa figura professionale indaga e analizza dispositivi informatici e servizi di messaggistica come:

• PC e computer fissi;

• Sistemi informatici aziendali e privati;

• Console per videogiochi;

• Smartphone e tablet;

• App di messaggistica e archivi mail;

• Social network;

• Criptovalute, soprattutto riguardo all’ascesa di truffe riguardo ad esse.

Il suo compito primario consiste nel raccogliere elementi probatori, ovvero la cosiddetta prova digitale, utilizzata nel corso di un processo dimostrando se un reato sussista o no.
Di solito, questa figura affianca l’avvocato durante le udienze e nella scelta delle strategie difensive.

In particolare, il digital informatic forensic si occupa di tutte le attività relative a:

• Reati informatici in senso stretto, come per esempio l’accesso abusivo a un sistema informatico.
• Reati commessi con dispositivi informatici, come pedopornografia, revenge porn, diffamazione, calunnia, cyberstalking ecc.
• Ogni azione che può essere ricostruita grazie a dati informatici memorizzati in qualche sistema informatico, come il recupero di SMS e mail per un attentato terroristico, un assassinio, una truffa ecc.

Sono numerose le varie pratiche per la corretta acquisizione di una prova digitale.
Di regola, il processo seguito dal digital forensic expert è il seguente:

• Identificazione del presunto elemento probatorio.

  Prevede l’individuazione dei reperti informatici e dei dati digitali rilevanti: smartphone, tablet, telefoni cellulari, computer, notebook, supporti ottici, chiavette USB, nastri, server, navigatori satellitari e così via. Ogni dispositivo che tratta dati digitali può essere di interesse.

• Raccolta dei dispositivi informatici individuati.

  Di solito, si prevede smontando i computer e i server per estrarre dal loro interno gli hard disk da sottoporre alla successiva fase di copia forense. Tipicamente è richiesta un’operazione di recupero dati cancellati.

• Acquisizione di tale elemento, mediante creazione di una copia dei dati raccolti durante la fase precedente.

  Quindi, si procede alla duplicazione dei dati, per esempio mediante copia forense di hard disk o acquisizione di tablet.
  Tutte le copie sono identificate grazie a degli hash calcolate dai software e hardware utilizzati per lo scopo.

• Conservazione, ovvero la messa in sicurezza dei dati raccolti, al fine di mantenere integre le loro condizioni originali;

• Documentazione dei dati, come la loro custodia e la trascrizione delle loro caratteristiche.

Al termine dell’analisi viene redatta una relazione tecnica informatica nella quale si illustrano metodologie utilizzate e riscontri rilevati.

Cosa contiene una valida e completa relazione tecnica di un’attività forense?

• La sintesi dei principi scientifici accademicamente riconosciuti, su cui l’analisi ed il reperimento traggono base.
• La catena di custodia dei reperti, con annessa accurata descrizione. Solitamente, è formata dai verbali che testimoniano prelievi, trasferimenti e luoghi di permanenza.
• Le specifiche richieste dell’Autorità Giudiziaria, fornita con le necessarie e precise autorizzazioni della Procura competente.
• La descrizione delle operazioni tecniche svolte in laboratorio.
• L’esito finale.

Senza dubbio, l’esito finale e le richieste dell’autorità giudiziaria rappresentano gli elementi chiavi per tratte le conclusioni.
Sono presi in considerazione da avvocati, giudici e pubblici ministeri durante l’iter giudiziario. Tutte le altre chiavi vengono riportate in maniera da rendere agevole lo studio, o l’eventuale ripetizione delle analisi da parte di ulteriori organi tecnici forensi.

Gli digital informatic expert fanno uso di strumenti utilizzati in larga scala per l’identificazione e la memorizzazione delle informazione, tra i quali:

• SANS Investigative Forensic Toolkit (SIFT), che include gli strumenti necessari per condurre l’indagine forense;

• Volatility, framework open source per memory forensics scritto in Python per Microsoft Windows, Mac OS X e Linux;

• Computer Online Forensic Evidence Extractor (COFEE), toolkit sviluppato appositamente da Microsoft per estrarre prove da un computer Windows.

I principi giuridici della forense digitale sono stati definiti nel 2001 con la Convenzione di Budapest sul Cybercrime.

In poche parole, si tratta della legge di Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica e norme di adeguamento dell’ordinamento interno.

In Italia, è stata recepita alcuni anni più tardi con la Legge 48/2008, che non ha introdotto da zero questi principi nell’ordinamento italiano, essendo l’informatica forense, in precedenza, regolamentata in Italia dalla Legge 547/1993, “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”.

Le procedure di forense digitale, per quanto riguarda l’Italia, si basano su standard ISO, best practice, RFC e diversi adeguamenti legislativi, tra i quali è il caso di citare la Legge 48/2008. Questo testo normativo è molto importante in quanto, attraverso la ratificazione della convenzione di Budapest dal 2001, ha introdotto per la prima volta in Italia delle linee guida da rispettare.

Attualmente, in Italia rimangono centrali la carenza riguardante metodologie condivise e precise linee guida normative, motivo per cui sono forti leggi attuali in materia e le circolari recenti.

La materia è in continuo aggiornamento, citiamo per esempio le discussioni che si stanno sviluppando in questi ultimi mesi sulla drone forensicse l’A.I. forensics.

Gli esperti di forense digitale devono restare sempre aggiornati, sia sull’evoluzione dei sistemi sia sui software di supporto, che possano recuperare il maggior numero di informazioni da essi.

Attualmente, in Italia, in materia di digital forensic expert non esiste una qualifica riconosciuta, pertanto chiunque può svolgere questa professione.

Tuttavia, nessun timore per i futuri digital forensic expert nel nostro Paese: seppur non esista un unico percorso di studi possibile per ricoprire questo ruolo, per chi desidera compiere questo tipo di carriera serve una formazione tecnico-giuridica che può scaturire da:

• Una laurea in discipline STEM, come Informatica, Ingegneria informatica o Matematica applicata.
  Anche una formazione in ambito legale può essere rilevante;
• Un Master, o dei corsi di formazione;
• Alcune certificazioni specifiche – per esempio, Certified Forensic Computer Examiner (CFCE) .

Le hard skills richieste sono le seguenti:

• Conoscenza dei linguaggi di programmazione più comuni – per esempio, Python, Bash, PHP, Java;

• Protocolli di sicurezza, degli algoritmi di crittografia e dei firewall;

• Conoscenza dei principali sistemi operativi e delle infrastrutture IT;

• Data Science e Cyber Security;

• Conoscenze base in ambito legislativo ed etico.

Inoltre, il profilo del digital forensic expert è completato da soft skill quali:

• investigative;
• comunicative – sia scritte sia orali;
• analitiche;
• organizzative e di problem solving.

In Italia, i titoli di lavoro per i professionisti della digital forensics variano un po’, ma sono generalmente variazioni su un tema. Includono termini come ingegnere forense digitale, investigatore forense digitale, specialista forense digitale, analista forense digitale, esaminatore forense digitale, tecnico forense digitale e altri.

L’ambito lavorativo probabilmente varia un po’ meno dei titoli, ma dipende sempre dall’anzianità e dai livelli di esperienza.

Alla fine, questa professione è necessaria per la lotta contro il cybercrimine; si attende che la sua figura venga riconosciuta con un titolo specifico, ma nell’attesa di ciò non risulta impossibile diventare un digital forensic expert, per chi ha le competenze e l’ambizione di compiere questo cammino di carriera.