Lo sviluppo della digital forensic in soli poco più di 50 anni

Definizione e storia del nuovo settore all’avanguardia

La digital forensic è un ramo della scienza forense che comprende il recupero e l’indagine del materiale trovato nei dispositivi digitali in relazione a eventi di criminalità informatica.

I primi crimini informatici furono riconosciuti nel 1978 in Florida. Con l’aumentare dei casi, negli anni ’80 le leggi federali iniziarono a comprendere anche i reati informati come il copyright, la privacy e le molestie online o la pornografia infantile. Gli strumenti forensi a disposizione erano pochi.

Con la crescita della criminalità informatica le forze dell’ordine furono costrette a istituire gruppi specializzati per gestire gli aspetti tecnici delle indagini: vennero così creati gruppi a livello regionale, e persino locale, per aiutare a gestire la crescente domanda. Per tutti gli anni ’90 ci fu una forte richiesta di queste nuove e fondamentali risorse investigative.

Nel 2000 vari organismi e agenzie iniziano a pubblicare le prime linee guida standard come il “Best practice for Computer Forensics” o la ISO 17025 “General requirements for the competence of testing and calibration laboratories”. La Convenzione sulla criminalità informatica, entrò in vigore nel 2004.

Con l’incremento dei media digitali e quindi, di conseguenza, delle possibili truffe in cui possiamo imbattere sul web, la scienza digitale forense sviluppò, e sta tutt’oggi sviluppando, in pochi anni strumenti e tecniche sempre più innovativi e all’avanguardia. 

L’attività e l’applicazione della digital forensic

Tali indagini sono utilizzate in vari campi, attività, contesti ed applicazioni. In base al tipo di apparecchiatura digitale coinvolta possiamo distinguere:

• La Computer Forensics: L’obiettivo è di spiegare lo stato corrente di un artefatto digitale, come un sistema informatico, un supporto di memorizzazione o un documento elettronico.
• Il Network forensics: si occupa del monitoraggio e dell’analisi del traffico di rete del computer, per raccogliere informazioni, prove o rilevare intrusioni. 
• La Forensic Data Analysis: Esamina i dati strutturati allo scopo di scoprire e analizzare i modelli di attività fraudolente derivanti dalla criminalità finanziaria.
• La Mobile Device Forensic: è un ramo secondario della scientifica digitale forense relativa al recupero di prove digitali o dati da un dispositivo mobile.

L’applicazione più comune è quella di identificazione di prove dirette di un crimine per sostenere o confutare un’ipotesi davanti ad un processo penale o civile, ma può interessare anche il settore privato (ad esempio indagini aziendali interne o indagini di intrusione).

Gli utilizzi più frequenti

Tra gli esempi più frequenti della digital forensic troviamo:

• Attribuire prove a specifici indagati:I documenti personali su un disco del computer potrebbero identificarne il proprietario.
• Identificare soggetti e/o colpevoli: L’analisi di file, siti, profili social e numeri di telefono riconducono, nella maggior parte dei casi, a persone fisiche che stanno dietro al reato commesso.
• Alibi e dichiarazioni: Le informazioni fornite dalle persone coinvolte possono essere incrociate con prove digitali.
• Intento: la storia di Internet del condannato assassino Neil Entwistle includeva riferimenti a un sito che parlava di Come uccidere le persone.
• Valutazione della fonte: File artefatti e metadati possono essere utilizzati per identificare l’origine di un particolare pezzo di dati. Nelle versioni precedenti di Microsoft Word veniva incorporato nei file un identificatore univoco globale che identificava il computer su cui era stato creato. Dimostrare se un file è stato prodotto sul dispositivo digitale da esaminare o ottenuto altrove (ad es. Internet) può essere molto importante.
• Autenticazione del documento: I metadati associati ai documenti digitali possono essere facilmente modificati (ad esempio, cambiando l’orologio del computer si può influire sulla data di creazione di un file). L’autenticazione del documento si riferisce al rilevamento e all’identificazione della falsificazione di tali dettagli.

Come avvengono le indagini di digital forensic

Per tutti i campi di applicazione si parte dal sequestro e l’acquisizione della forensic imaging della memoria volatile (RAM) del computer. Utilizzando un dispositivo write blocking si crea un duplicato forense del dispositivo per impedire la modica dell’originale. Il processo di analisi include: la conduzione di ricerche di parole chiave sui dispositivi digitali, il recupero di file cancellati e l’estrazione di informazioni di registro (ad esempio per elencare gli account utente o dispositivi USB collegati).

Le prove recuperate vengono analizzate per ricostruire eventi e trarre conclusioni sotto forma di relazione scritta.

Oggi viviamo in un’era completamente digitalizzata dove i dispositivi elettronici influenzano completamente le nostre vite, tanto da essere ormai utilizzati per qualunque tipo di attività. Basti pensare che dal report Digital 2024 di fine giugno risulta che 5,68 miliardi di individui utilizzavano i telefoni cellulari, il che significa che il 70% della popolazione mondiale ora si qualifica come utente mobile; un aumento totale globale di 126 milioni (+2,6%) rispetto allo stesso periodo dell’anno scorso. Le persone trascorrono infatti circa il 57% della loro “vita connessa”.

Ciò comporta, pertanto, che il fenomeno della criminalità informatica, sia nell’accezione della commissione di reati “classici” mediante la rete (es. truffa on line, sostituzione di persona), sia nell’accezione dei reati informatici in senso stretto (es. accesso abusivo a sistema informatico, sottrazione dati informatici) appare ormai fuori controllo.

Proprio in questo contesto, le indagini digitali forensi risultano di fondamentale importanza e CTP Italia è stato pensato per aiutarti!

Non esitare a contattare i nostri esperti, si adopereranno subito per analizzare il tuo caso!