Digital Forensics Tools Catalogue, un punto di riferimento per la comunità degli esperti forensi

• Autore: Mattia Epifani - Fabrizio Turchi
• Carica: Esperto in informatica forense - Tecnologo presso l'Istituto di Teoria e Tecniche dell'Informazione Giuridica del CNR di Firenze
• Pagine: 407-423

Digital Forensics Tools Catalogue, un punto di riferimento

per la comunità degli esperti forensi

MATTI A EPIFANI, FAB RIZIO TU RCHI ∗

SOMM ARI O:1. Introduzione – 2. Necessità di un Digital Forensics ToolsCatalogue

– 3. Digital Forensics Tools Catalogue – 3.1. Dati descrittivi di ogni tool – 3.2.

Consultazione del Catalogo – 4. Prospettiv e future

1. INT RODU ZIO NE

Il progetto Evidence1ha avuto, fra i suoi principali obiettivi, quello di

fornire alla Commissione europea una road map (linee guida, raccomanda-

zioni, guide operative, standard tecnici, ecc.) per creare un quadro comune

a livello europeo, attualmente mancante, per l’applicazione uniforme e siste-

matica delle nuove tecnologie nella raccolta, nel trattamento e nello scambio

di prove digitali.

Questa road map dovrebbe comprendere soluzioni standard in grado di

aiutare i decisori politici a conseguire l’adozione e/o l’introduzione di una

normativa eff‌iciente in materia di trattamento e scambio della prova digitale,

e, contestualmente, fornire, a tutti gli attori coinvolti (ad es., forze di poli-

zia, autorità giudiziarie, avvocati, ecc.) unbackground giuridico/tecnologico

comune che permetta loro di trattare le prove digitali nel rispetto di regole e

standard comuni.

Uno dei principali obiettivi intermedi del progetto è stato quello di pre-

parare una visione d’insieme degli standard utilizzati per il trattamento e lo

scambio di prove digitali nei paesi membri dell’Unione europea. Il risulta-

to di questo studio è sommariamente rappresentato in f‌ig. 12dove sono sta-

∗M. Epifani è esperto in informatica forense; F. Turchi è tecnologo presso l’Istituto di

Teoria e Tecniche dell’Informazione Giuridica del CNR di Firenze. M. Epifani ha svolto

questo lavoro in qualità di assegnista di ricerca presso lo stesso Istituto.

1European Informatics Data Exchange Framework for Court and Evidence, www.

evidenceproject.eu.

2La f‌ig. 1 rappresenta una visione semplif‌icata del processo complessivorelativo al tratta-

mento della prova digitale. Infatti il f‌lusso non è sequenziale, perché in alcuni casi si ritorna

indietro a fasi precedenti, ad esempio può capitare chedopo un’analisi sorga la necessità di ac-

quisire altri dati da dispositivi digitali che nella prima acquisizione erano stati ignorati. Inoltre

alcuni processi concorrenti non sono stati rappresentati: ad esempio, il mantenere una docu-

mentazione su tutte le azioni compiute, il mantenimento della chain of custody, o la richiesta

di autorizzazione per compiere determinati azioni investigative.

Edizioni Scientif‌iche Italiane ISSN 0390-0975 ISBN 978-88-495-3285-2

408 Informatica e diritto /Trattamento e scambio della provadigit ale in Europa

Fig. 1 – Fasi di gestione della prova digitale - timeline

te individuate otto distinte fasi relative al trattamento della prova digitale, a

partire dall’evento che dà inizio al caso investigativo (incident event).

Nel preparare questo studio sugli standard applicati al trattamento della

prova digitale, è stata raccolta un’ampiacollezione di str umenti (tool) forensi

e sulla base di questo vasto elenco è stato creato un Digital Forensics Tools

Catalogue composto da informazioni rilevanti su software forensirelativi alle

fasi di acquisizione e analisi, processi descritti a vari livelli di dettaglio negli

standard tecnici ISO/IEC 27037, 27042 e 270433.

2. NEC ESS ITÀ D I UN DIG ITAL FORE NSI CS TOOLS CATA LOG UE

La crescente complessità delle attività di un analista forense dipende da

molteplici fattori. Tra i principali si possono indicare: il crescente numero

di dispositivi, i differenti sistemi operativi, la grande quantità di applicazioni

e le differenti tipologie di f‌ile da elaborare e interpretare.

Ad esempio, considerando un’indagine forense relativa a un’intrusione

informatica all’interno di un server aziendale, caso investigativo piuttosto

comune, si possono presentare le seguenti attività:

– analisi dei f‌ile di log dei dispositivi di rete e del sistema operativo (ad es.,

registri eventi di Windows);

3ISO/IEC 27037:2012, Guidelines for identif‌ication, collection, acquisition, and preserva-

tion of digital evidence; ISO/IEC 27042:2015, Guidelines for the analysis and interpretation of

digital evidence; ISO/IEC 27043:2015, Incident investigation principles and processes.

ISSN 0390-0975 ISBN 978-88-495-3285-2 Edizioni Scientif‌iche Italiane