Le applicazioni della digital forensics comprendono vari tipi di indagini. Il più comune è quello di sostenere o confutare un’ipotesi davanti ad un processo penale o civile. Ultimamente è diffuso l’uso di internal audit del settore privato, per indagini di intrusione, specificamente sulla sua natura ed entità di ingress non autorizzato.
Il tipico processo forense prevede il sequestro, il forensic imaging (acquisizione), l’analisi dei media digitali e la produzione di una relazione delle prove raccolte.
Oltre a identificare prove dirette di un crimine, la digital forensics può essere utilizzata per attribuire prove a specifici indagati, confermare gli alibi o le dichiarazioni, determinare l’intento, identificare le fonti (ad esempio, nei casi di copyright) o autenticare i documenti. Le indagini sono molto più ampie rispetto ad altre aree di analisi forense (dove l’obiettivo consueto è quello di fornire risposte a una serie di domande più semplici) e spesso implicano complesse ipotesi o time-lines.
I nostri esperti di digital forensics si occupano quindi di materiale digitale, materiale che copre tutte le manifestazioni, l’input, l’output e l’elaborazione dei sistemi digitali. Questo si può presentarsi in varie fonti perché la digital forensics è caratterizzata da un numero crescente di potenziali fonti: software, hardware o una combinazione di entrambi.
I nostri professionisti cercano di esaminare – a seconda della domanda precisa posta – se le prove digitali scoperte possono essere collegate a persone fisiche. Per raggiungere questo obiettivo, procederanno in linea di principio a una ricostruzione del modo in cui le prove digitali sono finite sul materiale da esaminare:
Raccogliendo dati:
con la corretta conservazione e copia delle fonti di dati digitali, avendo familiarità con le varie opzioni di raccolta ed essendo in grado di valutare quale opzione di raccolta debba essere applicata a un caso specifico al fine di salvaguardare le prove e minimizzare l’impatto sul materiale di partenza. La conoscenza dei supporti di archiviazione digitale (hard disk, memorie multimediali ecc.) e dei telefoni cellulari, come delle possibili posizioni in cui potrebbero essere trovate le prove in queste aree, è cruciale;
Esaminando dati:
ovvero studiando copie di fonti di dati digitali al fine di trovare file, frammenti, ecc. senza interpretare le risultanze risultanti nel contesto del caso. Potrebbe quindi essere possibile che l’esperto istituisca il proprio esperimento: in questa fase sarà in grado di distinguere quali prove possono e non possono essere elevate, rendendo tali prove idonee per un’analisi approfondita;
Analizzando dati:
con la ricostruzione e l’interpretazione, fornisce un’opinione qualitativa delle prove ottenute dalle fonti di dati digitali. In questa fase l’esperto sarà in grado di effettuare una valutazione motivata. L’interpretazione è l’attività cruciale che distingue l’analisi dei dati dall’esame dei dati;
I nostri esperti di digital forensics sono in linea di massima in grado di eseguire autonomamente tutte le fasi (raccolta dei dati, analisi dei dati e valutazione dei dati), ma sono pronti anche a lavorare su parti della raccolta dati, analisi dei dati o fasi di analisi dei dati eseguite da qualcun altro.
Il richiedente può adottare differenti modelli di approcci giuridici razionali; per esempio modelli bayesiani, modelli basati su storie o modelli basati su argomentazioni, poiché domande diverse possono richiedere approcci diversi. Parte dell’esperienza consiste nell’estendere una metodologia conosciuta o sviluppata di recente in un nuovo caso. La metodologia sviluppata di recente dovrebbe essere convalidata su dispositivi di riferimento o sistemi di test prima di adottarla nel caso reale.
I nostri professionisti sono in grado di identificare i limiti della loro esperienza e agire di conseguenza. Ciò significa che sono in grado di riconoscere immediatamente che la propria esperienza o specializzazione non è adeguata per eseguire l’esame forense digitale.
Mephit Technologies
si avvale di esperti in:
Computer Forensics
per raccogliere potenziali prove da supporti di memorizzazione, RAM e altre parti di desktop, laptop e server;
Software Forensics
per scoprire potenziali prove attraverso l’esame di software;
Database Forensics
concentrandosi sui database e sui relativi contenuti e / o metadati;
Multimedia Forensics
per il recupero e all’analisi delle immagini, video ed audio;
Device Forensics
per la raccolta di prove digitali da diversi tipi di dispositivi. I dispositivi possono variare da dispositivi di piccole dimensioni come telefoni cellulari, tablet, sistemi di navigazione, dischi rigidi esterni, macchine fotografiche digitali ecc., a dispositivi su larga scala come i sistemi SAN (storage area network) e NAS (network attached storage).
Le perizie rilasciate, oltre ai dati amministrativi richiesti (nome del committente, data della commissione, data del rapporto, commissionario di riferimento, il proprio riferimento, numero e tipo di appendici, ecc.) contengono le seguenti informazioni:
• Descrizione dei dati e / o delle fonti di dati digitali ricevute, con informazioni sulla data e le modalità di presentazione, se sono stati ricevuti originali o copie. Sono menzionate anche altre condizioni dei dati e / o delle fonti di dati digitali che potrebbero essere rilevanti per l’esame e l’analisi;
• Specifica dei dati in questione e di riferimento e / o delle fonti di dati digitali;
• Domande poste dal committente e, se necessario, tutto quanto è stato discusso tra la parte committente e l’esaminatore;
• Qualsiasi informazione di base pertinente che possa influenzare l’interpretazione dei dati;
• Il(i) metodo(i) utilizzato(i);
• Risultati dell’esame dei dati;
• Interpretazione dei risultati dell’esame dei dati;
• Conclusioni.