Digital Forensics

Che cos'è la Digital Forensics?

Possiamo dire che è l'evoluzione naturale di quella che fino a poco tempo fa chiamavamo comunemente Computer Forensics e la cui definizione potrebbe essere:

"La disciplina che si occupa della preservazione, dell'identificazione e dello studio delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa."

Perché, quindi, parlare di Digital Forensics?

Ormai il numero di dispositivi digitali che utilizziamo comunemente nella nostra vita è lievitato notevolmente. Le macchine fotografiche sono pressoché tutte digitali, gli smartphone hanno praticamente sostituito i cellulari tradizionali con sistema operativo proprietario, i lettori di e-book stanno diffondendosi, i tablet sono diventati lo strumento principe per la fruizione dei contenuti.

Da un punto di vista meramente tecnico sono tutti computer, solo più o meno specializzati. Uno smartphone è un computer con spiccate doti comunicative, un server è un computer specializzato nella gestione di uno o più servizi di back-end, una centralina di un moderno motore a scoppio è un sistema embedded specializzato, un navigatore satellitare un computer per i viaggi e così via.

È in dubbio che una tale diversificazione nella forma e nell'uso di tali apparecchi richieda approcci significativamente differenti. Non solo, ma ora ciò che fa la differenza rispetto all'era dell'informatica dei personal computer tradizionali è il collegamento tra tutti i sistemi di cui si dispone.

Inoltre cosa ben più interessante, i nostri dati sono di colpo diventati indipendenti dal dispositivo. Devono essere raggiungibili dovunque e indipendentemente da cosa stiamo usando come medium digitale. Quindi non sono più legati a uno specifico apparecchio, ma stanno in cloud, in un servizio pubblico (Dropbox, Google Drive, Skydrive, Gmail, Flickr e così via), in un cloud privato (un server Owncloud o AFS) o in uno Storage connesso a Internet (i vari Qnap, Synology e così via).

Quindi parlare di Computer Forensics è limitante in quanto ciò che sta emergendo non è tanto la necessità di una scienza che permetta di esaminare tutti i singoli sistemi come entità a sé stanti, quanto piuttosto come questi interagiscano tra loro e con la rete in generale.

Questo richiede quindi una fusione tra la Computer Forensics che potremmo definire "classica" e quella che fino a poco fa abbiamo definito come Network Forensics, ovvero l'analisi dei flussi di dati in transito. Come è facile riuscire a intuire, nessuna delle due branche da sola ci può dare, al momento attuale, un quadro completo della situazione.

La Computer Forensics non ci può dire molto se il dispositivo ha lavorato su dati su un server remoto; la Network Forensics non ci può aiutare se non abbiamo idea di quale sia l'applicazione che ha generato il traffico e quale sia il protocollo usato (oppure se la connessione è protetta da un protocollo di crittografia). Entrambe le discipline sono inutili senza una parte investigativa che può legare i vari elementi tra loro.

Digital Forensics e Digital Forensics Expert

La Digital Forensics è una nuova branca della polizia scientifica. Il suo fascino e il suo limite massimo risiedono nel fatto di essere, appunto, "nuova". E' interessante sicuramente per il fatto che a ogni nuovo caso si scoprono nuovi metodi di analisi e di approccio alla situazione; è un limite perché la stessa evidenza, affidata a periti diversi o addirittura allo stesso forensics expert in due tempi diversi, potrebbe produrre risultati totalmente opposti.

Tutto questo è ovvio. L'esperienza aiuta a migliorare e a progredire nella materia specifica. Chi scrive è assolutamente convinto che se potesse ritornare ora su alcuni dei casi affrontati qualche anno fa otterrebbe risultati di gran lunga migliori.

Sfortunatamente, non è un problema solo di efficienza o di efficacia. In molti casi si evidenziano dei comportamenti palesemente sbagliati che inevitabilmente si traducono, in fase di dibattimento, nell'invalidazione della fonte di prova. Si immagini il danno che questo può arrecare, specialmente se l'errore è avvenuto già nella fase di acquisizione della prova stessa.

Ciò che è assolutamente necessario è un metodo di lavoro che permetta di evitare a ogni forensics expert di passare il tempo a reinventare le stesse cose o di rifare gli stessi errori che altri suoi colleghi hanno già compiuto. In questo modo si potrebbe ottenere una serie di vantaggi.

  • Normalizzazione dei risultati. Applicando la stessa metodologia sarebbe possibile ottenere risultati molto simili pur rivolgendosi a periti diversi, almeno per le fasi più di routine, come l'acquisizione delle prove.
  • Minore dispersione di energie. La mancanza di comunicazione e una legislazione assolutamente carente e in arretrato rispetto all'evoluzione tecnologica fanno sì che ogni singolo forensics expert debba affrontare gli stessi problemi già affrontati da altri e debba trovarvi soluzione. Ciò, inevitabilmente, complica il lavoro e ruba tempo ed energie all'unica fase in cui la personalità del perito può davvero esprimersi, ovvero quella dell'analisi delle prove. Questo è tanto più vero ora visti i trend appena descritti.
  • Minori possibilità alla controparte. Applicare un metodo che abbia già superato più volte le forche caudine del dibattimento eviterebbe di dare agio agli avvocati di parte avversa di trovare un vizio di forma o un cavillo legale che possa invalidare tutto il lavoro svolto.
  • Verificabilità dei risultati. Come si avrà più volte modo di sottolineare, l'uso di un metodo comune permetterebbe inoltre ai periti di parte avversa di controllare in maniera più semplice e incontrovertibile i risultati ottenuti dagli investigatori.