Al momento non esiste una definizione univoca per la Computer Forensics perché è da poco entrata nelle aule dei Tribunali ed essendo in continua evoluzione è ancora motivo di forti discussioni tra gli addetti ai lavori. Possiamo comunque dire in linea di massima che:
la Computer Forensics è una disciplina che si occupa dell’identificazione, acquisizione, preservazione e analisi delle informazioni contenute in un computer o in generale in tutti i supporti informatici, al fine di evidenziare l’esistenza di prove utili allo svolgimento delle indagini nonché aventi valore probatorio.
La Computer Forensics, che in italiano può essere definita “Informatica Forense”, viene usata quando vengono perpretati i cosiddetti reati informatici “Cibercrime” ma negli ultimi anni è stata utilizzata sempre più frequentemente anche come supporto alle indagini tradizionali e non solo in campo penale ma anche in quello civile, finanziario/fiscale, lavoro, commerciale, ecc.
SecurByte, tramite i suoi collaboratori dalla figura altamente professionale, mette a disposizione dei clienti la sua esperienza nel settore della Computer Forensics con una metodologia conforme alle linee guida internazionali ma soprattutto alla Legge 48/2008 che ha ratificato la Convenzione di Budapest sul Cybercrime.
SecurByte infatti usa una metodologia completa che pianifica il lavoro da eseguire grazie a 4 steep ben definiti:
- Identificazione
Con l’identificazione si intende che i reperti da analizzare vengono identificati singolarmente, fotografati e descritti analiticamente. In questa fase vengono individuate anche le caratteristiche tecniche del reperto. Altresì, quando tecnicamente possibile, viene tracciato un profilo digitale dell’utilizzatore al fine di individuarne le potenzialità tecniche. Tale profilo risulta poi indispensabile per consentire una metodologia di analisi che non tralasci nessun aspetto significativo ai fini delle evidenze digitali ricercate.
- Acquisizione
La fase di acquisizione, operazione peraltro più delicata, viene realizzata con tutte le garanzie di legge al fine di consentire ripetibilità e replicabilità ma soprattutto utilizzabilità probatoria. Per questo il laboratorio di SecurByte si avvale di tipologie di hardware e software dedicati costantemente aggiornati, in modo da poter affrontare ogni analisi con tutti i mezzi possibili in quanto in alcuni casi un tool può risultare più appropriato per la tipologia di analisi utilizzata.
- Analisi
La fase di analisi è quella che permette, lavorando su una copia forense, di “investigare” all’interno della memoria al fine di ricercare evidenze digitali significative in relazione al quesito. Le metodologie di analisi variano di caso in caso proprio in conseguenza della tipologia del dato informatico che viene ricercato e così anche il software utilizzato che viene selezionato in base a dei criteri mirati. Dall’analisi svolta vengono estratti i file di interesse che vengono consegnati in forma elettronica. La fase di analisi è una fase che può essere ripetuta quante volte si vuole e sempre senza andare a modificare il supporto originale che, una volta creata la copia forense, non viene più utilizzato.
- Relazione tecnica
A conclusione delle operazioni viene stilata una relazione tecnica dettagliata sulla quale vengono rappresentate tutte le operazioni svolte con i relativi log, le evidenze digitali individuate, i report, le fotografie e/o filmati e la metodologia di analisi con tutto quanto di interesse emerso, anche con allegati in forma elettronica. La relazione tecnica può essere utilizzata sia come valutazione che per un eventuale giudizio.
Questo tipo di metodologia può essere applicata agli hard-disk e a tutti quei supporti di memoria che hanno caratteristiche tecnologiche uguali o simili come memory flash USB, Secure Digital, Compact Flash, SSD, ecc. ecc.
Anche se generalmente la computer forensics raggruppa tutti i tipi di memorie, per tutti gli altri tipi di supporti SecurByte si affida alla forensics specifica (Mobile Forensics, Network Forensics, Embedded Forensics, ecc.) con la quale mette in pratica diverse tecniche di analisi, finalizzate agli scopi specifici, anche mediante l’ausilio di appositi software e/o hardware dedicati.