Il repertamento e l'analisi della fonte di prova digitale in casi atipici: best practices

• Autore: Nanni Bassetti
• Carica: L'A. è libero professionista specializzato in informatica forense
• Pagine: 361-371

Il repertamento e l’analisi della fonte di prova digitale

in casi atipici: best practices

NANNI BASSETTI∗

SOMMARIO:1. Introduzione – 2.Metodologia di investigazione forense – 2.1. Il me-

todo induttivo – 2.2. Il metodo deduttivo – 3.Identif‌icazione del dominio di reperta-

zione dei dati – 4. Af frontare nuove situazioni – 5. Fonti bibliograf‌iche e condivisione

della conoscenza– 6. Strumenti– 7. Conclusioni

1. INTRODUZIONE

Quando si parla di repertamento e analisi delle digital evidence, si pensa

alle cosiddette “best practices”1, a certe norme e certif‌icazioni internazio-

nali, che elencano una serie di accorgimenti, ormai consolidatied accettati

dalla comunità degli esperti di digital forensics.L’analisi forense può essere

condotta secondo due modalità: post mortem olive2; inoltre le copie forensi

vanno generate bit a bit calcolando i codici hash di verif‌ica. Tuttavia, poiché

alcuni esami alterano il reperto digitale originale, è necessario utilizzare gli

strumenti idonei ad affrontare le situazioni critiche, anche se il bacino delle

conoscenze e l’arsenale degli strumenti comincia ad essere sempre più limi-

tato.La legge n. 48 del 20083di ratif‌ica della Convenzione di Budapest del

2001 impone alcune cautele nell’analisi dei reperti digitali, proprio come av-

viene di solito con i reperti “classici”, come le armi, le impronte digitali, ecc.

La diff‌icoltà principale è data dal fatto che il reperto digitale è immateria-

le, non è unico, può essere “clonato” inf‌inite volte, è presente in contenitori

software o hardware, a volte è volatile, ossia non persistente, può essere di

diverse tipologie, quindi non analizzabile dagli strumenti attuali, può essere

coperto da segreto industriale, può necessitare di azioni d’ingegneria inversa

e tanto altro ancora.

∗L’A. è libero professionistaspecializzato in informatica forense.

1Cfr. www.swgde.org/documents/Current%20Documents/2014-09-05%20SWGDE

%20Best%20Practices%20for%20Computer%20Forensics%20V3-1.

2Per analisi post mortem si intende l’analisi forense condotta dopo lo spegnimento del di-

spositivo, per analisi live si intende l’analisi effettuata con il dispositivoacceso,che si conclude

con la duplicazione forense del disco mentre il computer è in funzione.

3Legge 18 marzo 2008, n.48 di ratif‌ica ed esecuzione della Convenzione del Consiglio

d’Europa sulla criminalità informatica (Convenzionedi Budapest del 23 novembre 2001), che

introduce modif‌iche al codice di procedura penale ed al Codice in materia di protezione dei

dati personali (d.lgs. 196 del 2003).

Edizioni Scientif‌iche ItalianeISSN 0390-0975ISBN 978-88-495-3285-2