Un laboratorio di informatica forense è un laboratorio scientifico che deve basarsi su standard di qualità accettati a livello internazionale, in particolare sugli standard ISO.
Il laboratorio di informatica forense si occupa dell’identificazione, dell’acquisizione di una copia forense certificata, dell’analisi e del recupero dei dati digitali contenuti nel supporto in esame al fine di rendere spendibili le prove digitali a fini legali (penali o civili).
Il laboratorio di informatica forense deve fornire il massimo delle garanzie da un punto di vista tanto giuridico quanto tecnico in virtù del fatto che i risultati di un’analisi forense avranno un pesante riflesso sulla vita delle persone coinvolte nei procedimenti. Pertanto è evidente che la scelta del consulente informatico, dello studio professionale di informatica forense e del laboratorio informatico forense deve tenere conto di tali elementi.
Misure di sicurezza in un laboratorio di informatica forense
Tutti i reperti informatici trattati vengono conservati in luogo sicuro, protetto da antifurto e videosorveglianza, all’interno di armadi blindati in ambiente a umidità e temperatura controllate.
Come previsto dallo standard ISO/IEC 27037:2012 in tema di informatica forense, i reperti informatici vengono imballati con materiale che consente di prevenire alterazioni e ne tutela il funzionamento anche in caso di trasporto.
L’analisi forense di supporti informatici in un laboratorio di informatica forense
Innanzitutto, qualsiasi attività tecnica deve prevedere una prima produzione di una copia identica dei dati digitali (cosiddetta copia forense), cioè:
- copia forense di hard disk(o copia forense di dischi rigidi)
- copia forense di state solid disk (o copia forense di dischi allo stato solido)
- copia forense di floppy disk
- copia forense di CD, copia forense di DVD, copia forense di Blu-ray e in generale di qualsiasi supporto ottico
- copia forense di chiavette usb
- acquisizione forense di pagine web
- acquisizione forense di email (o acquisizione forense di messaggi di posta elettronica)
- acquisizione forense di dati contenuti nel cloud(ad esempio, Dropbox, iCloud…)
Quindi, lavorando sull’immagine forense (o bit-stream image), l’analisi forense si occupa di molteplici attività tra cui (le principali):
- recuperare file in chiaro, file cancellati, riferimenti temporali, dati di slack space a prescindere dal file system
- utilizzare di tecniche di carving per recuperare i dati anche nei casi in cui il file system è corrotto (ad esempio, recupero dati da dischi formattati)
- cercare dati per parola chiave
- stabilire i tempi e i modi in cui sono state eseguite certe operazioni
- generare timeline per valutare cosa è accaduto nel tempo
- individuare copie abusive di dati o letture massive di dati, specialmente in contesti aziendali o in cui occorre tutelare la proprietà intellettuale
- individuare le password di file protetti o cifrati
- valutare genuinità dei dati digitali presentati dalla controparte
- recuperare dati o migliorare la qualità di immagini e video