La conservazione e l’integrità delle prove elettroniche assume un ruolo di fondamentale importanza nei procedimenti giudiziari, siano essi civili, come ad esempio le controversie legate alla proprietà intellettuale, siano essi penali.
Al fine di garantire l’ammissibilità e la piena utilizzabilità degli elementi di prova digitali, le copie forensi svolgono un ruolo cruciale in quanto consentono di preservare inalterate le informazioni nello spazio e nel tempo.
La copia forense, anche nota come bitstream image o copia bit-a-bit, è la più fedele replica del contenuto informativo originale di un dispositivo, sia esso cancellato o parzialmente sovrascritto.
Tale copia nella sua fisicità virtuale è tipicamente composta da uno o più file digitali con estensione .dd, .e01, .ad1, etc. in relazione al software o all’hardware utilizzato per la realizzazione.
Nel produrre una copia forense si segue il principio della “best evidence”, ovvero si dovrebbe sempre cercare di ottenere il miglior e più completo output possibile, adottando le migliori tecnologie e procedure disponibili alla data delle operazioni.
In sintesi, la copia forense:
Le linee guida per l’identificazione, la raccolta, l’acquisizione e la conservazione delle prove digitali (o copie forensi) durante le investigazioni informatiche derivano da standard internazionali, ad adozione volontaria.
Le principali cautele nell’ottenimento di una copia forense includono:
Una copia forense può essere eseguita su diverse “tipologie di dispositivo”, ogni tipologia di dispositivo presenta tipicità uniche che si riflettono quindi nella produzione della Best Evidence.
Solitamente, tali dispositivi consentono un’acquisizione completa del contenuto informativo, permettendo di ricavare una copia forense che includerà tutti i dati presenti sul dispositivo, quali documenti, immagini, cronologia web, cookie, file e registri di sistema. Questi ultimi ad esempio, sono di interesse particolare poichè consentono di ricavare una timeline degli eventi completa.
A partire dalla copia forense, grazie a software appositi, è possibile effettuare un tentativo di recupero dei dati cancellati, ampliando così le possibilità investigative.
Le piattaforme di collaborazione in cloud più comuni permettono tipicamente una selezione mirata del contenuto informativo prima di procedere all’esportazione dei dati e alla cristallizzazione forense degli stessi. La copia forense potrà includere quindi esclusivamente i file pertinenti per il caso di specie. Nel caso sia opportuno e possibile procedere con un account di tipo amministrativo dotato di adeguati privilegi relativamente alle funzioni di eDiscovery ed export dati, sarà possibile condurre ricerche mediante l’uso di parole chiave e applicare filtri temporali, individuare i dati di interesse ed avviare la procedura di esportazione.
Nel caso non sia possibile usare tale tipologia di account è da valutare la possibilità di avviare l’esportazione dati con un account “utente”, ovvero di acquisire i dati già sincronizzati su un device quale ad esempio un PC o un notebook. In quest’ultima evenienza si dovrà capire i dati di quale utente sono sincronizzati nel device, in quanto potrebbero non coincidere con l’utente di interesse e con l’utilizzatore del device.
L’acquisizione di tali tipologia di contenuti, che per natura sono soggetti a costante cambiamento anche nel brevissimo periodo, costituisce una sfida al fine di poter garantire di aver prodotto un elemento originale, integro e completo.
Con tale premessa è doveroso quindi raccogliere quante più informazioni possibili circa l’elemento di interesse e l’ecosistema in cui esso è presente. A titolo esemplificativo in tali occasioni si può acquisire l’intero contenuto costituente la pagina, i media, il codice sorgente, il traffico catturato per la richiesta della pagina, il server e gli IP che mettono a disposizione tale contenuto.
Nel valutare questa tipologia di acquisizione forense è essenziale verificare che la pagina sia liberamente accessibile in rete, ovvero deve essere raggiungibile senza restrizioni. Nel caso il contenuto sia accessibile solo previa autenticazione si dovranno adottare ulteriori cautele che dovranno essere descritte nel report conclusivo delle attività tecniche.
Per approfondire, si invita a consultare il seguente link
Le copie forensi vengono utilizzate abitualmente per presentare i dati informatici come elementi di prova nei procedimenti giudiziari.
I casi più comuni in cui sono richieste copie forensi in ambito giudiziario sono:
In ambito extra giudiziale le copie forensi vengono utilizzate prevalentemente per:
Non è possibile stabilire un costo fisso per l’attività in quanto quest’ultimo risulta influenzato da diversi fattori come:
Al fine di ottenere una quotazione dettagliata sulla base dei requisiti specifici potete contattare direttamente il Team Digital Forensic di PwC
Ha svolto per oltre 14 anni attività di tutela del patrimonio aziendale in supporto alle funzioni HR, Security e Legal. Specializzato nel trattamento del dato e nella conduzione di investigazioni civili e penali in conformità alla normativa privacy.
È attualmente un Senior manager di PwC, possiede un solido bagaglio di competenze che include Computer Forensics, Software License Compliance, Data Forensics, Forensic Analysis, Digital Forensics e altro, contribuendo con preziose intuizioni al settore.