Analisi forensica di dati digitali

L'analisi forensica è l'attività di esame di hard disk (o altri media digitali) alla ricerca di tracce di informazioni nascoste, di alterazioni o di cancellazioni.
Scopo dell'analisi compiuta da un perito di computer forensics può essere l'acquisizione di prove collegate a un crimine, a un contenzioso civile o a una necessità informativa.
Questo tipo di attività si svolge sia a basso livello, con ricerca manuale delle informazioni del file system, sia con l'uso di software standard di recupero dati.
La varietà dei casi in cui l'analisi forensica può fornire un aiuto, o una prova determinante, è molto vasta. Può riguardare indagini di computer forensics relative a reati informatici od ogni altro caso in cui prove utili (documenti, email, navigazione web) possono essere rintracciate nella memoria di massa di un computer.

Qualche esempio

Un creativo di un'azienda produttrice di oggetti promozionali, dopo essersi licenziato, vende a un'azienda concorrente il design di un oggetto, che viene messo in produzione.
La prima azienda, dopo avere trovato in uno dei suoi computer il progetto del prodotto, sottopone l'hard disk a un esame forensico per dimostrare che il relativo progetto era stato salvato in azienda quando l'ideatore era suo dipendente.
In un caso di contenzioso civile il soggetto che cercava una prova era un ex-dipendente. Nel corso di una lite il contratto che lo legava a un'azienda era un'email rimasta in un computer aziendale. Compito della perizia forensica era il rinvenimento del documento, oppure di tracce della sua cancellazione.
Nel corso di un'indagine su una rete di pedofili la Polizia Postale intercetta un file, diffuso tramite file sharing peer-to-peer, nel quale appare una modella minorenne. Spetterà al perito di computer forensic dimostrare, sulla base dei referti documentati, che il file incriminato era stato diffuso dall'indagato solo parzialmente, e che comunque era stato prontamente cancellato.
Un utente è accusato di avere diffuso tramite file sharing un file pedo-pornografico.

Catena di custodia e mirroring

Uno dei requisiti dell'indagine nel computer forensics, quando essa deva avere un valore riconosciuto da più parti, è la garanzia di basarsi su un documento originale intatto.
A questo fine un concetto importante è la "catena di custodia", cioè la certificazione del passaggio di mano dell'oggetto (l'hard disk), per assicurare che esso non sia stato manomesso.
Un altro concetto cardine è costituito dal "mirroring", cioè la copiatura perfetta delle informazioni digitali contenute in un hard disk su un altro hard disk. Questa operazione di copiatura "fisica" (anziché "logica") permette di lavorare sui documenti digitali senza rischiare di intaccare l'originale, inoltre permette a più parti di lavorare su documenti identici e di verificare i risultati dichiarati da altri.
La Data Recovery Service, Inc. utilizza per il mirroring un software creato (da Uwe Gisseman e D. Knoblauch) su specifiche fornite dall'azienda stessa. Esso lavora sull'unità minima leggibile di un hard disk, il settore (corrispondente normalmente a 512 bytes di 8 bit), ed è in grado di portare a termine la copiatura fisica di un hard disk anche se si presentano settori danneggiati.

Hard disk danneggiato

Una delle complicazioni dell'analisi di computeforensics può essere costituita da un hard disk danneggiato.
In questi casi la lettura del disco è incompleta, o bloccata, o peggio ancora impossibile. Inoltre non è possibile la produzione di una prova perfettamente controllabile e ripetibile.
Per trarre il massimo dal reperto è allora necessario avvalersi degli strumenti di recupero dati, sui quali ho una vasta esperienza, maturata come rappresentante in Italia dal 2004 di Data Recovery Service.

Micael Zeller Celso

Iscritto all'albo dei consulenti tecnici del Tribunale di Milano per la specialità "Analisi e recupero dei dati da hard disk o altri media digitali".
(C.T.U. n° 11224 - P. IVA 04187390960)

Via Giambellino, 10
20146 Milano