Il primo passo per eseguire l'analisi di un reperto digitale è quello della cosiddetta "acquisizione forense", la quale ha lo scopo di "congelare" lo stato di un dispositivo o una memoria al momento dell'acquisizione, in modo che sia assolutamente certo il suo contenuto in un preciso momento temporale.
Il risultato di una acquisizione forense prende il nome di "immagine forense". Dal momento dell'acquisizione forense in avanti si lavorerà sull'immagine forense e non sul dispositivo originale. L'immagine forense potrà essere "montata" sul file system della macchina utilizzata per l'analisi e quest'ultima la vedrà come un vero e proprio dispositivo fisico. Alcune volte, come nel caso di hard disk con sistema operativo installato, è addirittura possibile "virtualizzare" tale immagine forense e accedervi tramite interfaccia grafica, proprio come se si avesse davanti il computer originario.
È probabilmente questa la parte più delicata dell'intero processo di indagine. Bisogna infatti estrarre i dati di interesse in maniera certificata, senza alterare il dispositivo originale; un errore in questa fase comprometterà per sempre la validità delle prove in esso contenute.
A tale scopo vengono utilizzati degli specifici dispositivi hardware o software chiamati "write blocker", i quali permettono di accedere al dispositivo in sola lettura, ma non in scrittura: permettono dunque di leggere ed acquisire i dati in esso contenuti, ma bloccano qualsiasi forma di modifica degli stessi. In questo modo il reperto informatico rimarrà inalterato e si potrà parlare di "accertamento ripetibile": l'acquisizione forense potrà essere ripetuta in futuro e, sotto opportune ipotesi, produrrà la medesima immagine forense.
L'acquisizione forense può essere effettuata a diversi livelli (fisica, logica, file system, ecc) ed andrà a generare uno o più file che saranno la copia identica di quanto acquisito. Si lavorerà dunque sulla "copia forense" anziché sul dispositivo originale.
L'acquisizione più completa e preferibile, che può essere effettuata solo sotto precise condizioni, è quella fisica. Questa consiste in una copia identica, dunque bit a bit, della memoria originale.
La risposta è NO: bisogna fare una distinzione tra i diversi dispositivi.
Per quanto riguarda memorie quali hard disk, chiavette, microsd, ecc, grazie all'utilizzo di adattatori e software professionali e sotto le condizioni sopra descritte è possibile effettuare l'acquisizione "diretta" dei dati cancellati.
Discorso diverso per quanto riguarda smartphone, tablet, navigatori: la memoria esterna (ad es. microsd) può essere montata come disco rimovibile e quindi scansionata come qualsiasi altro tipo di memoria, mentre la memoria interna è di più difficile scansione. Questo è dovuto al fatto che la comunicazione tra la memoria interna e il mondo esterno è "mediata" da protocolli di sicurezza, quali l'MTP, i quali "blindano" la comunicazione con la memoria interna e non permettono quindi un accesso diretto tramite i software di acquisizione. In questi casi vengono utilizzate delle apparecchiature molto sofisticate e costose che permettono di "bypassare" i protocolli di sicurezza e di effettuare l'estrazione dei dati di interesse. In base al modello dello smartphone, alla versione del sistema operativo e alla presenza o meno della cifratura hardware, è possibile effettuare una o più tra le tipiche tipologie di estrazione (fisica, logica, file system).
Per garantire l'integrità di una immagine forense vengono utilizzati i cosiddetti "sigilli digitali HASH". Questi sono l'equivalente dei sigilli applicati ai reperti nel mondo analogico: non impediscono di alterare l'immagine forense del reperto, ma qualsiasi alterazione sarà rilevabile. Un sigillo digitale è uno speciale codice che viene calcolato applicando delle particolari funzioni matematiche a tutti i bit contenuti nell'immagine forense: la futura modifica anche di un singolo bit in una serie interminabile di bit, comporterà una variazione totale del sigillo digitale prodotto dal file.
I sigilli digitali HASH vengono dunque riportati nella Relazione Tecnica, che viene stampata e firmata, e permettono di dimostrare che i dati presentati nel procedimento giudiziario corrispondono esattamente (bit a bit!) con quanto presente nel dispositivo originario, e che questi non si siano corrotti e non siano stati intenzionalmente manipolati.
La RG-DFI si trova presso l'azienda RG-Tech,
al seguente indirizzo:
Via Nazionale S. Biagio n. 264
98050 - Terme Vigliatore (ME)
I nostri recapiti
Si riceve solo previo appuntamento il sabato a
partire dalle ore 16.00, salvo casi eccezionali.
Cell: +39 3496169919
Email: info@rg-dfi.it
PEC: r.giardina@pec.it