Search

Copie Forensi

La conservazione e l’integrità delle prove elettroniche assume un ruolo di fondamentale importanza nei procedimenti giudiziari, siano essi civili, come ad esempio le controversie legate alla proprietà intellettuale, siano essi penali.
Al fine di garantire l’ammissibilità e la piena utilizzabilità degli elementi di prova digitali, le copie forensi svolgono un ruolo cruciale in quanto consentono di preservare inalterate le informazioni nello spazio e nel tempo.

Cos’è una copia forense

La copia forense, anche nota come bitstream image o copia bit-a-bit, è la più fedele replica del contenuto informativo originale di un dispositivo, sia esso cancellato o parzialmente sovrascritto. 

Tale copia nella sua fisicità virtuale è tipicamente composta da uno o più file digitali con estensione .dd, .e01, .ad1, etc. in relazione al software o all’hardware utilizzato per la realizzazione. 

Nel produrre una copia forense si segue il principio della “best evidence”, ovvero si dovrebbe sempre cercare di ottenere il miglior e più completo output possibile, adottando le migliori tecnologie e procedure disponibili alla data delle operazioni.

In sintesi, la copia forense:

  • Preserva il dato originale: La copia forense preserva integralmente il contenuto informativo all’interno di un ambiente protetto; anche i metadati di ogni file sono al riparo da modifiche, anche involontarie. 
  • Avvalora l’autenticità dei dati: La copia forense viene eseguita utilizzando strumenti e metodi forensi affidabili e riconosciuti tali da garantire l’autenticità dei dati copiati. Una copia forense ben eseguita fornisce un elemento di prova ammissibile nei procedimenti legali.
  • Garantisce l’immutabilità della copia: La copia forense rende evidente una alterazione nel tempo dei dati in essa contenuti. Nel caso si apportino modifiche al contenuto informativo o la copia stessa sia alterata, il codice hash, calcolato in autonomia dagli strumenti hardware e software durante la creazione delle copia o ex post, darà evidenza di tale alterazione.
  • Ammissibilità legale: La copia forense è considerata un elemento di prova ammissibile nei procedimenti giudiziari. Essa rappresenta la “migliore prova” disponibile poiché preserva l’originale e ne conserva l’integrità.

Best Practice: la procedura di copia forense

Le linee guida per l’identificazione, la raccolta, l’acquisizione e la conservazione delle prove digitali (o copie forensi) durante le investigazioni informatiche derivano da standard internazionali, ad adozione volontaria.

Le principali cautele nell’ottenimento di una copia forense includono:

  • Integrità dei dati: Le copie forensi devono essere acquisite e conservate in modo tale da preservare l’integrità dei dati originali. Ciò significa che il processo di acquisizione e archiviazione deve essere realizzato in modo da garantire che i dati copiati non siano stati alterati, danneggiati o compromessi in alcun modo.
  • Verifica dell’integrità: Ogni copia forense deve essere accompagnata da meccanismi e strumenti per verificare l’integrità dei dati, garantendo che le informazioni copiate siano identiche a quelle originali.
  • Tracciabilità: Ogni passaggio del processo di copia forense deve essere documentato in modo dettagliato, con informazioni riguardanti chi ha effettuato l’operazione, quando è stata eseguita, su quale dispositivo e in quale modalità.
  • Catena di custodia: Le copie forensi devono essere gestite seguendo una rigorosa catena di custodia. Ciò implica che le prove digitali devono essere controllate e custodite da personale autorizzato e competente per garantire la tracciabilità e prevenire possibili alterazioni.
  • Privacy e confidenzialità: Durante il processo di copia forense, devono essere adottate misure appropriate per proteggere la privacy e la confidenzialità dei dati coinvolti. Questo è particolarmente importante quando si tratta di dati sensibili o personali.

Come effettuare una copia forense

Una copia forense può essere eseguita su diverse “tipologie di dispositivo”, ogni tipologia di dispositivo presenta tipicità uniche che si riflettono quindi nella produzione della Best Evidence.

  • Copia forense di PC e laptop

Solitamente, tali dispositivi consentono un’acquisizione completa del contenuto informativo, permettendo di ricavare una copia forense che includerà tutti i dati presenti sul dispositivo, quali documenti, immagini, cronologia web, cookie, file e registri di sistema. Questi ultimi ad esempio, sono di interesse particolare poichè consentono di ricavare una timeline degli eventi completa.

A partire dalla copia forense, grazie a software appositi, è possibile effettuare un tentativo di recupero dei dati cancellati, ampliando così le possibilità investigative.

  • Copia forense di Cellulari e smartphone
    Solitamente, tali dispositivi consentono un’acquisizione parziale del contenuto informativo. La copia forense, pertanto, comprenderà elementi quali la lista delle chiamate effettuate e ricevute, gli SMS inviati e ricevuti, l’elenco dei contatti, gli eventi memorizzati nel calendario e, in taluni casi, i dati esportati da alcune delle applicazioni installate.

    Per ulteriori approfondimenti, si invita a consultare il seguente link

  • Copia forense di Servizi cloud come Dropbox, Google Drive, Microsoft 365

Le piattaforme di collaborazione in cloud più comuni permettono tipicamente una selezione mirata del contenuto informativo prima di procedere all’esportazione dei dati e alla cristallizzazione forense degli stessi. La copia forense potrà includere quindi esclusivamente i file pertinenti per il caso di specie. Nel caso sia opportuno e possibile procedere con un account di tipo amministrativo dotato di adeguati privilegi relativamente alle funzioni di eDiscovery ed export dati, sarà possibile condurre ricerche mediante l’uso di parole chiave e applicare filtri temporali, individuare i dati di interesse ed avviare la procedura di esportazione.

Nel caso non sia possibile usare tale tipologia di account è da valutare la possibilità di  avviare l’esportazione dati con un account “utente”, ovvero di acquisire i dati già sincronizzati su un device quale ad esempio un PC o un notebook. In quest’ultima evenienza si dovrà capire i dati di quale utente sono sincronizzati nel device, in quanto potrebbero non coincidere con l’utente di interesse e con l’utilizzatore del device.

  • Copia forense di Caselle di posta
    Acquisire in modo forense l’intera casella di posta di un account è una delle attività tipiche in caso di investigation interne. Trattare tale tipologia di reperto richiede massima cautela sin dalla presa del mandato e presenta complessità relative alla tipologia e storicità dei dati contenuti:

      • I sistemi di posta potrebbero essersi succeduti nel tempo;

      • Potrebbero essere presenti archivi di posta elettronica in “vault” protocollatori ovvero in sistemi di backup offline ed online;

      • E sempre da approfondire il tema della posta elettronica cancellata.

        Per ulteriori approfondimenti, si invita a consultare il seguente link
  • Copia forense di Pagine web e contenuti di Social Network 

L’acquisizione di tali tipologia di contenuti, che per natura sono soggetti a costante cambiamento anche nel brevissimo periodo, costituisce una sfida al fine di poter garantire di aver prodotto un elemento originale, integro e completo. 

Con tale premessa è doveroso quindi raccogliere quante più informazioni possibili circa l’elemento di interesse e l’ecosistema in cui esso è presente. A titolo esemplificativo in tali occasioni si può acquisire l’intero contenuto costituente la pagina, i media, il codice sorgente, il traffico catturato per la richiesta della pagina, il server e gli IP che mettono a disposizione tale contenuto.

Nel valutare questa tipologia di acquisizione forense è essenziale verificare che la pagina sia liberamente accessibile in rete, ovvero deve essere raggiungibile senza restrizioni. Nel caso il contenuto sia accessibile solo previa autenticazione si dovranno adottare ulteriori cautele che dovranno essere descritte nel report conclusivo delle attività tecniche.

Per approfondire, si invita a consultare il seguente link

Quando effettuare una copia forense

Le copie forensi vengono utilizzate abitualmente per presentare i dati informatici come elementi di prova nei procedimenti giudiziari. 

I casi più comuni in cui sono richieste copie forensi in ambito giudiziario sono:

  • Ambito penale: reati informatici, cyberstalking, frode;

  • Ambito civile: violazione del copyright, violazione della proprietà intellettuale, diffamazione online.

In ambito extra giudiziale le copie forensi vengono utilizzate prevalentemente per:

  • Attività di Incident Response, per indagare e rispondere agli incidenti di sicurezza informatica;

  • Recupero di dati cancellati, per ripristinare informazioni rilevanti che sono state cancellate intenzionalmente o accidentalmente.

Costi per una copia forense

Non è possibile stabilire un costo fisso per l’attività in quanto quest’ultimo risulta influenzato da diversi fattori come:

  • Tipologia dei dati;

  • Quantità dei dati;

  • Complessità dell’acquisizione;

  • Possibilità di effettuare l’acquisizione presso laboratorio PwC o necessità di effettuarla presso sede esterna;

  • Richiesta di attività di analisi specifica;

  • Richiesta di una relazione di consulenza tecnica apposita.

Al fine di ottenere una quotazione dettagliata sulla base dei requisiti specifici potete contattare direttamente il Team Digital Forensic di PwC

Autori:

Share:

Autori:

Michele Cogo

Michele Cogo

Director | Head of Digital Forensics & eDiscovery | PwC Italia |  + posts

Ha svolto per oltre 14 anni attività di tutela del patrimonio aziendale in supporto alle funzioni HR, Security e Legal. Specializzato nel trattamento del dato e nella conduzione di investigazioni civili e penali in conformità alla normativa privacy.

Stefano Castagna

Senior Manager | PwC Italia |  + posts

È attualmente un Senior manager di PwC, possiede un solido bagaglio di competenze che include Computer Forensics, Software License Compliance, Data Forensics, Forensic Analysis, Digital Forensics e altro, contribuendo con preziose intuizioni al settore.