Il repertamento e l'analisi della fonte di prova digitale in casi atipici: best practices
Autore | Nanni Bassetti |
Carica | L'A. è libero professionista specializzato in informatica forense |
Pagine | 361-371 |
Il repertamento e l’analisi della fonte di prova digitale
in casi atipici: best practices
NANN I BASS ETT I∗
SOMM ARI O:1. Introduzione – 2. Metodologia di investigazione forense – 2.1. Il me-
todo induttivo – 2.2. Il metodo deduttivo – 3. Identificazione del dominio di reperta-
zione dei dati – 4. Af frontare nuove situazioni – 5. Fonti bibliografiche e condivisione
della conoscenza – 6. Strumenti – 7. Conclusioni
1. INT RODU ZIO NE
Quando si parla di repertamento e analisi delle digital evidence, si pensa
alle cosiddette “best practices”1, a certe norme e certificazioni internazio-
nali, che elencano una serie di accorgimenti, ormai consolidati ed accettati
dalla comunità degli esperti di digital forensics. L’analisi forense può essere
condotta secondo due modalità: post mortem olive2; inoltre le copie forensi
vanno generate bit a bit calcolando i codici hash di verifica. Tuttavia, poiché
alcuni esami alterano il reperto digitale originale, è necessario utilizzare gli
strumenti idonei ad affrontare le situazioni critiche, anche se il bacino delle
conoscenze e l’arsenale degli strumenti comincia ad essere sempre più limi-
2001 impone alcune cautele nell’analisi dei reperti digitali, proprio come av-
viene di solito con i reperti “classici”, come le armi, le impronte digitali, ecc.
La difficoltà principale è data dal fatto che il reperto digitale è immateria-
le, non è unico, può essere “clonato” infinite volte, è presente in contenitori
software o hardware, a volte è volatile, ossia non persistente, può essere di
diverse tipologie, quindi non analizzabile dagli strumenti attuali, può essere
coperto da segreto industriale, può necessitare di azioni d’ingegneria inversa
e tanto altro ancora.
∗L’A. è libero professionistaspecializzato in informatica forense.
1Cfr. www.swgde.org/documents/Current%20Documents/2014-09-05%20SWGDE
%20Best%20Practices%20for%20Computer%20Forensics%20V3-1.
2Per analisi post mortem si intende l’analisi forense condotta dopo lo spegnimento del di-
spositivo, per analisi live si intende l’analisi effettuata con il dispositivoacceso, che si conclude
con la duplicazione forense del disco mentre il computer è in funzione.
3 Legge 18 marzo 2008, n.48 di ratifica ed esecuzione della Convenzione del Consiglio
d’Europa sulla criminalità informatica (Convenzionedi Budapest del 23 novembre 2001), che
introduce modifiche al codice di procedura penale ed al Codice in materia di protezione dei
dati personali (d.lgs. 196 del 2003).
Edizioni Scientifiche Italiane ISSN 0390-0975 ISBN 978-88-495-3285-2
Per continuare a leggere
RICHIEDI UNA PROVA