Cos’è l’informatica forense?

Allo stesso modo in cui le forze dell’ordine setacciano le scene del crimine alla ricerca di indizi, gli investigatori informatici forensi cercano nei dispositivi digitali prove che i legali possano utilizzare in indagini penali, cause civili, indagini sulla criminalità informatica e altre questioni di sicurezza aziendale e nazionale. Proprio come le loro controparti in divisa, gli investigatori informatici devono essere esperti non solo nella ricerca di prove digitali, ma nella loro raccolta, gestione ed elaborazione, per garantirne l'attendibilità e la conseguente ammissibilità in sede di giudizio.

L'informatica forense è strettamente correlata alla cybersecurity. I risultati dell'analisi informatica forense possono aiutare i team di cybersecurity ad accelerare il rilevamento e la risoluzione delle minacce informatiche e prevenire futuri attacchi informatici. Una disciplina emergente di cybersecurity, la Digital Forensics and Incident Response (DFIR), integra le attività tipiche dell'informatica forense e delle tecniche di risposta agli incidenti per velocizzare la neutralizzazione delle minacce informatiche, garantendo al contempo che qualsiasi prova digitale ad esse legate non subisca compromissioni.

L'informatica forense acquisì importanza per la prima volta agli inizi degli anni '80 con l'invenzione del personal computer. Mentre la tecnologia diventava un punto fermo nella vita di tutti i giorni, i criminali si resero conto delle possibilità offerta dalle nuove tecnologie e iniziarono a perpetrare crimini sui dispositivi elettronici.

Poco dopo, Internet cominciava quasi da un giorno all'altro a mettere in connessione praticamente tutti, consentendo l'accesso e-mail e remoto alle reti informatiche aziendali e organizzative e aprendo le porte a malware e attacchi informatici più complessi. In risposta a questa nuova frontiera del crimine informatico, le forze dell’ordine avevano bisogno di un sistema per indagare e analizzare i dati elettronici. Da questa esigenza nasce l’informatica forense.

Inizialmente, la maggior parte delle prove digitali era rinvenuta su sistemi informatici e dispositivi IT: personal computer, server, telefoni cellulari, tablet e dispositivi di archiviazione elettronica. Oggi invece, un numero sempre crescente di dispositivi o prodotti industriali e commerciali, dai dispositivi per l’Internet delle cose (IoT) e la tecnologia operativa (OT), alle automobili e agli elettrodomestici, ai campanelli di casa e ai collari per cani, generano e archiviano dati e metadati che possono essere raccolti ed estratti. per ottenere prove digitali.

Prendiamo come esempio un incidente stradale. In passato, le forze dell'ordine esaminavano la scena del crimine alla ricerca di prove fisiche, come segni di sterzate o vetri infranti; potevano inoltre controllare i telefoni dei conducenti per verificare la presenza di messaggi di testo durante la guida.

Oggi, le automobili di nuova generazione creano e memorizzano una varietà enorme di dati digitali e metadati provvisti di marcature temporali, capaci di documentare nei minimi dettagli la posizione, la velocità e delle condizioni operative di ogni veicolo in un momento qualsiasi. Questi dati trasformano i veicoli moderni in un altro potente strumento forense, poiché consentono agli investigatori di ricostruire gli eventi prodromici dell'incidente, ciò che è accaduto durante e persino dopo. I dati possono anche aiutare a determinare chi ne è stato il responsabile, anche in assenza delle tradizionali prove fisiche o di testimoni oculari.

Proprio come le prove fisiche sulla scena di un crimine, anche le prove digitali devono essere raccolte e maneggiate con estrema cura. In caso contrario, i dati e i metadati potrebbero andare persi o essere ritenuti inammissibili in un contenzioso.

Ad esempio, gli investigatori e i pubblici ministeri sono tenuti a dimostrare che le prove digitali sono state sottoposte a una catena di custodia adeguata, e devono documentare il modo in cui sono state maneggiate, elaborate e archiviate. Inoltre, devono sapere come raccogliere e memorizzare i dati senza alterarli. Questa è una sfida di non poco conto, dato che azioni apparentemente innocue come l’apertura, la stampa o il salvataggio di file possono modificarne i metadati in modo permanente.

Per questo motivo, la maggior parte delle organizzazioni assume o incarica investigatori forensi (noti anche con le qualifiche professionali di esperto di informatica forense, analista di informatica forense o esaminatore di informatica forense) per raccogliere e maneggiare prove digitali associate a indagini criminali o criminali informatici.

I professionisti dell'informatica forense conseguono in genere una laurea in informatica o in diritto penale, e possiedono sia una solida conoscenza funzionale dei fondamenti della tecnologia dell'informazione (IT), ad esempio sistemi operativi, sicurezza delle informazioni, sicurezza della rete, linguaggi di programmazione, sia una solida formazione sulle implicazioni legali delle prove digitali e della criminalità informatica. Alcuni si specializzano in aree come la mobile forensics o l'operating system forensics.

Gli investigatori forensi informatici sono esperti nella ricerca e nella conservazione di dati legalmente ammissibili. Essi sanno che devono raccogliere dati da fonti che lo staff IT interno di un'azienda potrebbe ignorare, come server remoti e computer domestici. Inoltre, possono aiutare le organizzazioni a sviluppare una solida policy di informatica forense che possa far risparmiare tempo e denaro nella raccolta di prove digitali, mitigare le conseguenze della criminalità informatica e contribuire a proteggere le reti e i sistemi informativi da attacchi futuri.

La disciplina dell'informatica forense consta di quattro passaggi principali.

Esistono diverse aree in cui le organizzazioni o le forze dell'ordine possono avviare un'indagine informatica forense:

• Indagini penali: le forze dell'ordine e gli specialisti possono utilizzare l'informatica forense per risolvere crimini perpetrati a mezzo computer, come il cyberbullismo, ls pirateria informatica o il furto di identità, nonché crimini nel mondo fisico, tra cui rapine, sequestri di persona e omicidi. Ad esempio, gli agenti delle forze dell'ordine possono utilizzare tecniche di informatica forense sul personal computer di un sospettato di omicidio per individuare potenziali indizi o prove nascosti nella cronologia delle ricerche o in file cancellati.
• Contenzioso civile: gli investigatori possono anche utilizzare l'informatica forense in casi di contenzioso civile, come nelle controversie di lavoro o divorzi. Ad esempio, in una causa di divorzio, i legali di uno dei coniugi può utilizzare l'informatica forense su un dispositivo mobile per rivelare l'infedeltà dell'altro coniuge e ottenere una sentenza più favorevole.
• Protezione della proprietà intellettuale: l'informatica forense può aiutare i funzionari delle forze dell'ordine a indagare sui furti di proprietà intellettuale, come i furti di segreti commerciali o di materiali protetti da copyright. Alcuni dei casi di informatica forense più noti hanno riguardato proprio la tutela della proprietà intellettuale, che spesso viene violata da dipendenti dimissionari che sottraggono informazioni riservate per poi rivenderle ad altre aziende, o che le usano per fondare aziende proprie. Analizzando le prove digitali, gli investigatori possono identificare chi ha rubato la proprietà intellettuale e denunciarlo alle autorità.
• Sicurezza aziendale: le aziende spesso utilizzano l'informatica forense a seguito di un attacco informatico, come una violazione dei dati o un attacco ransomware, per determinare cosa è accaduto e correggere eventuali vulnerabilità di sicurezza. Un esempio tipico è quello degli hacker che si introducono in una vulnerabilità del firewall di un'azienda per rubare dati sensibili o essenziali. L’utilizzo dell’informatica forense per combattere gli attacchi informatici continuerà, poiché i crimini informatici continuano ad aumentare. Nel 2022, l'FBI ha stimato che i crimini informatici sono costati agli americani 10,3 miliardi di dollari di perdite annuali, rispetto ai 6,9 miliardi di dollari dell'anno precedente .
• Sicurezza nazionale: l’informatica forense è diventata un importante strumento per la sicurezza nazionale, dato che i crimini informatici perpetrati dagli stati sono in continua crescita. I governi o le forze dell'ordine, come l'FBI, utilizzano oggi le tecniche di informatica forense per investigare i cyberattacchi, scoprire le prove e colmare le vulnerabilità della sicurezza.

Ancora una volta, l’informatica forense e la cybersecurity sono discipline strettamente correlate, e che spesso vengono impiegate assieme per proteggere le reti digitali dagli attacchi informatici. La cybersecurity ha un carattere sia proattivo che reattivo, e si concentra sulla prevenzione e sul rilevamento degli attacchi informatici, oltre che sulla risposta e sulla neutralizzazione degli stessi.

L’informatica forense è quasi interamente reattiva, e entra in azione in caso di attacco informatico o crimine. Le indagini di informatica forense spesso forniscono informazioni preziose che i team di cybersecurity possono utilizzare per prevenire futuri attacchi.

Quando l'informatica forense e la risposta agli incidenti, ovvero il rilevamento e la mitigazione degli attacchi informatici in corso, vengono condotte in modo indipendente, possono finire per interferire tra loro, con risultati negativi per l'organizzazione.

I team di risposta agli incidenti possono alterare o distruggere le prove digitali durante la rimozione di una minaccia dalla rete. Gli investigatori forensi, invece, possono ritardare la risoluzione delle minacce per individuarne e raccoglierne le prove.

La disciplina dell'informatica forense digitale e della risposta agli incidenti, o DFIR (Digital forensics and incident response), combina le tecniche di informatica forense e di risposta agli incidenti in un flusso di lavoro integrato che può aiutare i team di sicurezza a bloccare più rapidamente le minacce informatiche, preservando al contempo le prove digitali che potrebbero andare perse nell'urgenza di mitigare tali minacce. Nel DFIR,

• La raccolta forense dei dati avviene parallelamente alla mitigazione delle minacce. Gli specialisti utilizzano tecniche forensi informatiche per raccogliere e conservare i dati durante la fase di contenimento e di sradicamento della minaccia, e garantiscono allo stesso tempo che sia seguita la corretta catena di custodia e che prove preziose non vengano alterate o distrutte.

• La disamina post-incidente include l'esame di prove digitali. Oltre a conservare le prove per eventuali azioni legali, i team DFIR le utilizzano per ricostruire gli incidenti di sicurezza informatica dall’inizio alla fine, per scoprire cosa è successo, come è successo, l’entità del danno e come sia possibile evitare attacchi simili.

Il DFIR può portare a una mitigazione delle minacce più rapida, a un recupero più efficace e a prove più attendibili per svolgere indagini su reati, crimini informatici, richieste di indennizzi assicurativi e altro ancora.