Digital forensics: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m typo |
|||
| (25 versioni intermedie di 13 utenti non mostrate) | |||
Riga 1:
[[File:FLETC Glynco-aerial.gif|thumb|Foto aerea di [[Federal Law Enforcement Training Center|FLETC]], dove gli standard americani di ''forensics'' sono stati sviluppati negli anni '80 e '90]]
La '''''digital forensics''''' (conosciuta anche come '''scienza digitale forense''') è un ramo della [[scienza forense]] che comprende il recupero e l'indagine del materiale trovato nei dispositivi digitali, spesso in relazione a eventi di [[Crimine informatico|criminalità informatica]].<ref name="ijde-2002">{{Cita web|titolo=An examination of digital forensic models |url=http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.13.9683 |editore=International Journal of Digital Evidence |accesso=2 agosto 2010 |autore1=M Reith |autore2=C Carr |autore3=G Gunsch |anno=2002 |urlmorto=no |urlarchivio=https://web.archive.org/web/20121015132426/http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.13.9683 |dataarchivio=15 ottobre 2012 }}</ref><ref name="carrier">{{Cita web|cognome=Carrier |nome=B |titolo=Defining digital forensic examination and analysis tools |url=http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.14.8953 |editore=Digital Research Workshop II |accesso=2 agosto 2010 |anno=2001 |urlmorto=no |urlarchivio=https://web.archive.org/web/20121015132450/http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.14.8953 |dataarchivio=15 ottobre 2012 }}</ref> Il termine ''digital forensics'' inizialmente utilizzato come sinonimo di [[informatica forense]] è stato ampliato per coprire l'indagine di tutti i dispositivi in grado di memorizzare i dati digitali.<ref name="ijde-2002" /> Nata durante la rivoluzione informatica dei tardi anni '70 e nei primi anni '80, la disciplina si è evoluta in maniera casuale durante gli anni '90 e solo all'inizio del XXI secolo è emersa nella politica nazionale.▼
▲La '''''digital forensics''''' (conosciuta anche come '''scienza digitale forense''') è un ramo della [[scienza forense]] che comprende il recupero e l'indagine del materiale trovato nei dispositivi digitali, spesso in relazione a eventi di [[Crimine informatico|criminalità informatica]].<ref name="ijde-2002">{{Cita web|titolo=An examination of digital forensic models |url=http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.13.9683 |editore=International Journal of Digital Evidence |accesso=2 agosto 2010 |autore1=M Reith |autore2=C Carr |autore3=G Gunsch |anno=2002 |urlmorto=no |urlarchivio=https://web.archive.org/web/20121015132426/http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.13.9683 |dataarchivio=15 ottobre 2012 }}</ref><ref name="carrier">{{Cita web|cognome=Carrier |nome=B |titolo=Defining digital forensic examination and analysis tools |url=http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.14.8953 |editore=Digital Research Workshop II |accesso=2 agosto 2010 |anno=2001 |urlmorto=no |urlarchivio=https://web.archive.org/web/20121015132450/http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.14.8953 |dataarchivio=15 ottobre 2012 }}</ref>
Le indagini della ''digital forensics'' hanno una varietà di applicazioni. Il più comune è quello di sostenere o confutare un'ipotesi davanti ad un processo [[processo penale|penale]] o [[processo civile|civile]]. Può inoltre interessare il settore privato; ad esempio durante indagini aziendali interne o indagini di intrusione (indagine specialistica sulla natura e l'entità di un'[[Security hacker |intrusione nella rete ]] non autorizzata).▼
L'aspetto tecnico di un'inchiesta è suddiviso in più sottogruppi, relativi al tipo di apparecchiature digitali coinvolte; [[informatica forense]], ''[[Network forensics]]'', ''[[Forensic data analysis]]'' e ''[[mobile device forensics]]''. Il tipico processo forense prevede il sequestro, il forensic imaging (acquisizione), l'analisi dei media digitali e la produzione di una relazione delle prove raccolte.▼
Il concetto inizialmente utilizzato come sinonimo di [[informatica forense]] è stato ampliato per coprire l'indagine di tutti i dispositivi in grado di memorizzare i dati digitali.<ref name="ijde-2002" /> Nata durante la rivoluzione informatica dei tardi [[anni 1970]] e nei primi anni '80, la disciplina si è evoluta in maniera casuale durante gli anni '90 e solo all'inizio del XXI secolo è emersa nella politica nazionale.
Oltre a identificare prove dirette di un crimine, la digital forensics può essere utilizzata per attribuire prove a specifici indagati, confermare gli [[alibi]] o le dichiarazioni, determinare l'[[Mens rea|intento]], identificare le fonti (ad esempio, nei casi di copyright) o autenticare i documenti.<ref name="handbook">{{Cita libro|cognome=Various |titolo=Handbook of Digital Forensics and Investigation |anno=2009 |editore=Academic Press |isbn=0-12-374267-6 |p=567 |url=https://books.google.com/books?id=xNjsDprqtUYC |curatore=Eoghan Casey |accesso=27 agosto 2010 |urlmorto=no |urlarchivio=https://web.archive.org/web/20170314095808/https://books.google.com/books?id=xNjsDprqtUYC |dataarchivio=14 marzo 2017 }}</ref> Le indagini sono molto più ampie rispetto ad altre aree di analisi forense (dove l'obiettivo consueto è quello di fornire risposte a una serie di domande più semplici) spesso implicano complesse ipotesi o time-lines.<ref name="df-basics">{{Cita web|cognome=Carrier |nome=Brian D |titolo=Basic Digital Forensic Investigation Concepts |url=http://www.digital-evidence.org/di_basics.html |data=7 giugno 2006 |urlmorto=no |urlarchivio=https://web.archive.org/web/20100226184652/http://www.digital-evidence.org/di_basics.html |dataarchivio=26 febbraio 2010 }}</ref>▼
==Storia==
Prima degli [[anni
===1980–1990: Crescita del campo===
La crescita della criminalità informatica negli anni '80 e '90 ha indotto le forze dell'ordine a istituire gruppi specializzati, solitamente a livello nazionale, per gestire gli aspetti tecnici delle indagini. Per esempio, nel 1984 l'[[FBI]] lanciò un ''Computer Analysis and Response Team'' e l'anno seguente fu creato un dipartimento per la criminalità informatica all'interno della squadra antifrode della [[Metropolitan Police Service|Metropolitan Police]] britannica. Oltre ad essere professionisti delle forze dell'ordine, molti dei primi membri di questi gruppi erano anche informatici
da <ref name="sommer" >{{Cita pubblicazione|autore=Peter Sommer|titolo=The future for the policing of cybercrime|rivista=Computer Fraud & Security|volume=2004|numero=1|data=January 2004|pp=
Uno dei primi esempi pratici (o almeno resi noti) di scienze digitale forense è stata la ricerca da parte di un gruppo Italo Americano Russo che [[Cliff Stoll]] dell’hacker [[Markus Hess]] nel
Per tutti gli anni '90 ci fu
Durante questo periodo la scienza digitale forense è cresciuta grazie agli strumenti e tecniche ad hoc sviluppati da professionisti
Italiani STnc. Matteo Rnc.Roberto uno origine Calabresi altro Piemontese. 2 Americani Yuri. Mhical Furt.Antony il primo Boston. Chicago. Russi Dimitri keryut Costantineschu harton entrambi da Mosca. <ref name="ijde-2002" /><ref name="palmer" >{{Cita web|titolo=Forensic analysis in the digital world|url=https://utica.edu/academic/institutes/ecii/publications/articles/9C4E938F-E3BE-8D16-45D0BAD68CDBE77.doc|editore=International Journal of Digital Evidence|accesso=2 agosto 2010|autore1=GL Palmer |autore2=I Scientist |autore3=H View |anno=2002}}</ref> Fino al 1992 il termine "computer forensics" è stato usato nella [[Editoria accademica|letteratura accademica]] (anche se prima veniva usato in modo informale); un saggio di Collier e Spaul ha tentato di giustificare questa nuova disciplina al mondo della scienza forense.<ref name="wilding" >{{Cita libro|autore=Wilding, E.|anno=1997|titolo=Computer Evidence: a Forensic Investigations Handbook|url=https://archive.org/details/computerevidence0000wild|città=London|editore=Sweet & Maxwell|p=[https://archive.org/details/computerevidence0000wild/page/n251 236]|isbn=0-421-57990-0}}</ref><ref name="collier" >{{Cita pubblicazione|autore1=Collier, P.A. |autore2=Spaul, B.J.|anno=1992|titolo=A forensic methodology for countering computer crime|rivista=Computers and Law|editore=Intellect Books}}</ref> Questo rapido sviluppo ha comportato una mancanza di standardizzazione e formazione. Nel suo libro del 1995 ''" High-Technology Crime: Investigating Cases Involving Computers "'', K. Rosenblatt scrisse: {{citazione|Cogliere, preservare e analizzare le prove archiviate su un computer è la più grande sfida forense delle forze dell'ordine negli anni '90. Sebbene la maggior parte dei test forensi, come le impronte digitali e il test del DNA, siano eseguiti da esperti appositamente formati, il compito di raccogliere e analizzare le prove informatiche è spesso assegnato a ufficiali di pattuglia e investigatori.<ref name="rosenblatt">{{Cita libro|titolo=High-Technology Crime: Investigating Cases Involving Computers |anno=1995 |editore=KSK Publications |isbn=0-9648171-0-1 |url=https://www.ncjrs.gov/App/abstractdb/AbstractDBDetails.aspx?id=175264 |autore=K S Rosenblatt |accesso=4 agosto 2010 |urlmorto=no |urlarchivio=https://web.archive.org/web/20160307094418/https://www.ncjrs.gov/App/abstractdb/AbstractDBDetails.aspx?id=175264 |dataarchivio=7 marzo 2016 }}</ref>}}
=== Anni 2000: Sviluppo degli standard ===
Dal 2000, in risposta all'esigenza di standardizzazione, vari organismi e agenzie pubblicarono linee guida per la digital forensics. Il [[Scientific Working Group on Digital Evidence]](SWGDE) produsse un documento del 2002, "Best practice for Computer Forensics", che fu seguito, nel 2005, dalla pubblicazione di uno standard [[ISO]] (ISO 17025, General requirements for the competence of testing and calibration laboratories) .<ref name="casey" /><ref name="SWGDE">{{Cita web|titolo=Best practices for Computer Forensics |url=http://swgde.org/documents/swgde2005/SWGDE%20Best%20Practices%20_Rev%20Sept%202004_.pdf |editore=SWGDE |accesso=4 agosto 2010 |urlarchivio=https://web.archive.org/web/20081227060158/http://www.swgde.org/documents/swgde2005/SWGDE%20Best%20Practices%20_Rev%20Sept%202004_.pdf |dataarchivio=27 dicembre 2008 |urlmorto=
Venne trattato anche il programma di formazione. Le società commerciali (spesso sviluppatrici di software forense) iniziarono ad offrire programmi di certificazione e digital forensic analysis venne incluso come argomento per la formazione degli ’investigatori speciali del Regno Unito, [[Centrex]].<ref name="casey" /><ref name="sommer" />
Dalla fine degli anni '90 i dispositivi mobili sono ampiamente aumentati, superando i semplici dispositivi di comunicazione, e diventando ricche fonti di informazione, anche per reati non tradizionalmente associati alla digital forensics.<ref name="punja">{{Cita pubblicazione|titolo=Mobile device analysis|url=http://www.ssddfj.org/papers/SSDDFJ_V2_1_Punja_Mislan.pdf|autore=SG Punja|rivista=Small Scale Digital Device Forensics Journal|anno=2008|urlmorto=
L'attenzione si è spostata anche sulla criminalità su Internet, in particolare sul rischio di [[guerra cibernetica]] e [[cyber-terrorismo]]. Una relazione del febbraio 2010 del [[Progetto Alpha (robotica)|comando delle forze congiunte degli Stati Uniti]] ha concluso:
{{citazione|Attraverso il cyberspazio, i nemici si rivolgeranno all'industria, al mondo accademico, al governo, così come ai militari nei domini aerei, terrestri, marittimi e spaziali. Più o meno allo stesso modo in cui la potenza aerea ha trasformato il campo di battaglia della Seconda Guerra Mondiale, il cyberspazio ha spezzato le barriere fisiche che proteggono una nazione dagli attacchi al commercio e alla comunicazione.<ref name=JOE>[http://www.jfcom.mil/newslink/storyarchive/2010/JOE_2010_o.pdf "The Joint Operating Environment"] {{webarchive|url=https://web.archive.org/web/20130810043238/http://www.jfcom.mil/newslink/storyarchive/2010/JOE_2010_o.pdf |
<ref name="floract"/>}}
Il campo della digital forensics affronta ancora problemi irrisolti. Un documento del 2009, " Digital Forensic Research: The Good, the Bad and the Unaddressed ", di Peterson e Shenoi ha identificato un pregiudizio verso i sistemi operativi Windows nella ricerca scientifica forense.<ref name="goodbadugly" >{{Cita pubblicazione|autore1=Peterson, Gilbert |autore2=Shenoi, Sujeet|titolo=Digital Forensic Research: The Good, the Bad and the Unaddressed|url=https://archive.org/details/advancesindigita0005ifip |rivista=Advances in Digital Forensics V|anno=2009|editore=Springer Boston|pp=
===Sviluppo di strumenti forensi===
Line 42 ⟶ 41:
<ref name="casey" />
== Attività e applicazioni ==
▲Le indagini della ''digital forensics'' hanno una varietà di applicazioni. Il più comune è quello di sostenere o confutare un'ipotesi davanti ad un processo [[processo penale|penale]] o [[processo civile|civile]]. Può inoltre interessare il settore privato; ad esempio durante indagini aziendali interne o indagini di intrusione (indagine specialistica sulla natura e l'entità di un'[[Security hacker |intrusione nella rete ]] non autorizzata).
[[File:Portable forensic tableau.JPG|thumb|Un portable Tableau write-blocker attaccato ad un [[hard drive]]]]▼
▲L'aspetto tecnico di un'inchiesta è suddiviso in più sottogruppi, relativi al tipo di apparecchiature digitali coinvolte; [[informatica forense]], ''[[Network forensics]]'', ''[[Forensic data analysis]]'' e ''[[mobile device forensics]]''. Il tipico processo forense prevede il sequestro, il forensic imaging (acquisizione), l'analisi dei media digitali e la produzione di una relazione delle prove raccolte.
Un’indagine digitale forense solitamente, si sviluppa in 3 fasi: acquisizione o [[imaging|Immagine disco]] di reperti,<ref name="adams">{{Cita web|cognome=Adams |nome=Richard |titolo='The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice |editore=Murdoch University |anno=2013 |url=http://researchrepository.murdoch.edu.au/14422/2/02Whole.pdf |urlmorto=no |urlarchivio=https://web.archive.org/web/20141114204845/http://researchrepository.murdoch.edu.au/14422/2/02Whole.pdf |dataarchivio=14 novembre 2014 }}</ref> analisi e rapporti.<ref name="casey" /><ref name="first">{{Cita web|titolo='Electronic Crime Scene Investigation Guide: A Guide for First Responders |editore=National Institute of Justice |anno=2001 |url=https://www.ncjrs.gov/pdffiles1/nij/187736.pdf |urlmorto=no |urlarchivio=https://web.archive.org/web/20100215040703/http://www.ncjrs.gov/pdffiles1/nij/187736.pdf |dataarchivio=15 febbraio 2010 }}</ref>Il processo di acquisizione ideale, dovrebbe catturare un'immagine della memoria volatile(RAM) del computer<ref name="liveram">{{Cita web|titolo=Catching the ghost: how to discover ephemeral evidence with Live RAM analysis|editore=Belkasoft Research|anno=2013|url=http://forensic.belkasoft.com/en/live-ram-forensics}}</ref> e creare un duplicato esatto del settore (o "duplicato forense") del dispositivo digitale, spesso utilizzando un dispositivo [[Write blocker|write blocking]] per impedire la modifica dell'originale. Tuttavia l’aumentare delle dimensioni dei supporti di memorizzazione e lo sviluppo dei cloud computing<ref name="adamscloud">{{Cita web|cognome=Adams|nome=Richard|titolo='The emergence of cloud storage and the need for a new digital forensic process model|editore=Murdoch University|anno=2013|url=http://researchrepository.murdoch.edu.au/19431/1/emergence_of_cloud_storage.pdf}}</ref> ha portato a un maggiore uso di acquisizione “live” per mezzo di una copia dei dati “logica” anziché l’immagine completa del dispositivo di storage fisico.<ref name="adams"/> Sia l'immagine acquisita (o la copia logica) che i supporti / dati originali vengono sottoposti a hash (utilizzando un algoritmo come [[SHA-1]] o [[MD5]]) e i valori confrontati per verificare che la copia sia accurata.<ref name="horenbeeck">{{Cita web|titolo=Technology Crime Investigation|url=http://www.daemon.be/maarten/forensics.html#dr|accesso=17 agosto 2010|autore=Maarten Van Horenbeeck|data=24 maggio 2006|urlarchivio=https://web.archive.org/web/20080517022757/http://www.daemon.be/maarten/forensics.html#dr|dataarchivio=17 maggio 2008}}</ref>▼
▲Oltre a identificare prove dirette di un crimine, la digital forensics può essere utilizzata per attribuire prove a specifici indagati, confermare gli [[alibi]] o le dichiarazioni, determinare l'[[Mens rea|intento]], identificare le fonti (ad esempio, nei casi di copyright) o autenticare i documenti.<ref name="handbook">{{Cita libro|cognome=Various |titolo=Handbook of Digital Forensics and Investigation |anno=2009 |editore=Academic Press |isbn=0-12-374267-6 |p=567 |url=https://books.google.com/books?id=xNjsDprqtUYC |curatore=Eoghan Casey |accesso=27 agosto 2010 |urlmorto=no |urlarchivio=https://web.archive.org/web/20170314095808/https://books.google.com/books?id=xNjsDprqtUYC |dataarchivio=14 marzo 2017 }}</ref> Le indagini sono molto più ampie rispetto ad altre aree di analisi forense (dove l'obiettivo consueto è quello di fornire risposte a una serie di domande più semplici) e spesso implicano complesse ipotesi o time-lines.<ref name="df-basics">{{Cita web |cognome=Carrier |nome=Brian D |titolo=Basic Digital Forensic Investigation Concepts |url=http://www.digital-evidence.org/di_basics.html |data=7 giugno 2006 |urlmorto=
Durante la fase di analisi, un investigatore recupera le prove utilizzando una serie di metodologie e strumenti diversi. Nel 2002, un articolo sull'International Journal of Digital Evidence faceva riferimento a questo passaggio come "un'approfondita ricerca sistematica di prove relative al crimine sospetto."<ref name="ijde-2002" />▼
Il processo di analisi può variare tra i diversi casi, ma comunemente include: la conduzione di ricerche di parole chiave sui dispositivi digitali (file non allocato e frammentato), il recupero di file cancellati e l'estrazione di informazioni di registro (ad esempio per elencare gli account utente o dispositivi USB collegati).▼
Le prove recuperate vengono analizzate per ricostruire eventi o azioni e per trarre conclusioni, lavoro che può essere spesso svolto da personale meno specializzato.<ref name="ijde-2002" /> Quando un'indagine è completa, i dati vengono presentati, di solito sotto forma di relazione scritta.<ref name="ijde-2002" />▼
[[File:En exif data.png|thumb|Un esempio dei metadati Exif che potrebbe essere usata per provare l'origine]]
Line 60 ⟶ 54:
Nelle cause civili o in materia aziendale, la digital forensics fa parte del processo di [[scoperta elettronica]] (o eDiscovery). Le procedure forensi sono simili a quelle utilizzate nelle indagini penali, spesso con requisiti e limitazioni legali diverse. Al di fuori dei tribunali, digital forensics può costituire una parte interna di indagini aziendali.
Un esempio comune potrebbe essere l'intrusione nella rete non autorizzata. Viene eseguito un esame forense specialistico sulla natura e la portata dell'attacco come esercizio di limitazione del danno, per stabilire l'estensione di ogni intrusione e per identificare l'aggressore.<ref name="handbook" /><ref name="df-basics" /> Tali attacchi venivano comunemente condotti su linee telefoniche durante gli anni '80, ma nell'era moderna di solito si propagano su Internet.<ref name=kruse>{{Cita libro|titolo=Computer forensics: incident response essentials|url=https://archive.org/details/computerforensic0000krus|anno=2002|editore=Addison-Wesley|isbn=0-201-70719-5|p=[https://archive.org/details/computerforensic0000krus/page/392 392]|autore1=Warren G. Kruse |autore2=Jay G. Heiser }}</ref>
L'obiettivo principale delle indagini di digital forensics sono il recuperare di prove oggettive di un'attività criminale (denominata actus reus in gergo legale). Tuttavia, la vasta gamma di dati contenuti nei dispositivi digitali può essere utile in altre aree di indagine.<ref name="handbook" />
Line 71 ⟶ 65:
:Oltre a trovare prove oggettive di un crimine commesso, le indagini possono anche essere utilizzate per dimostrare l'intento (noto con il termine legale [[mens rea]]). Ad esempio, la storia di Internet del condannato assassino [[Neil Entwistle]] includeva riferimenti a un sito che parlava di ''Come uccidere le persone''.
;Valutazione della fonte
:File artefatti e
;Autenticazione del documento
:In relazione a ''Valutazione della fonte'', i metadati associati ai documenti digitali possono essere facilmente modificati (ad esempio, cambiando l'orologio del computer si può influire sulla data di creazione di un file). L'autenticazione del documento si riferisce al rilevamento e all'identificazione della falsificazione di tali dettagli.
▲[[File:Portable forensic tableau.JPG|thumb|Un portable Tableau write-blocker attaccato ad un [[hard drive]]]]
▲Un’indagine digitale forense solitamente, si sviluppa in 3 fasi: acquisizione o [[imaging
▲Durante la fase di analisi, un investigatore recupera le prove utilizzando una serie di metodologie e strumenti diversi. Nel 2002, un articolo sull'International Journal of Digital Evidence faceva riferimento a questo passaggio come "un'approfondita ricerca sistematica di prove relative al crimine sospetto."<ref name="ijde-2002" />
▲Il processo di analisi può variare tra i diversi casi, ma comunemente include: la conduzione di ricerche di parole chiave sui dispositivi digitali (file non allocato e frammentato), il recupero di file cancellati e l'estrazione di informazioni di registro (ad esempio per elencare gli account utente o dispositivi USB collegati).
▲Le prove recuperate vengono analizzate per ricostruire eventi o azioni e per trarre conclusioni, lavoro che può essere spesso svolto da personale meno specializzato.<ref name="ijde-2002" /> Quando un'indagine è completa, i dati vengono presentati, di solito sotto forma di relazione scritta.<ref name="ijde-2002" />
== Limiti e considerazioni legali ==
Uno dei principali limiti di un'indagine forense è l'uso della crittografia; ciò sconvolge l'esame iniziale laddove potrebbero essere individuate prove pertinenti utilizzando parole chiave. Le leggi per obbligare le persone a rivelare le chiavi di crittografia sono ancora relativamente nuove e controverse.<ref name="garfinkel" />
L'esamine dei media digitali è coperta dalla legislazione nazionale e internazionale. Per i casi civili, in particolare, la legge può limitare gli analisti nell'esecuzione degli esami. Restrizioni contro il monitoraggio della rete o la lettura di comunicazioni personali.<ref name="mocas" >{{Cita pubblicazione|autore=Sarah Mocas|titolo=Building theoretical underpinnings for digital forensics research|rivista=Digital Investigation|volume=1|numero=1|data=February 2004|pp=
▲L'esamine dei media digitali è coperta dalla legislazione nazionale e internazionale. Per i casi civili, in particolare, la legge può limitare gli analisti nell'esecuzione degli esami. Restrizioni contro il monitoraggio della rete o la lettura di comunicazioni personali.<ref name="mocas" >{{Cita pubblicazione|autore=Sarah Mocas|titolo=Building theoretical underpinnings for digital forensics research|rivista=Digital Investigation|volume=1|numero=1|data=February 2004|pp=61–68|issn=1742-2876|doi=10.1016/j.diin.2003.12.004}}</ref>] Durante le indagini penali, le leggi nazionali limitano la quantità di informazioni che possono essere sequestrate.<ref name="mocas" /> Ad esempio, nel Regno Unito il sequestro delle prove da parte delle forze dell'ordine è disciplinato dall'atto PACE.<ref name="casey" /> Durante le prime fasi della sua esistenza, l’''International Organization on Computer Evidence (IOCE)'' era un'agenzia che lavorava per stabilire standard internazionali compatibili per il sequestro delle prove.<ref name=kanellis>{{Cita libro|cognome=Kanellis|nome=Panagiotis|titolo=Digital crime and forensic science in cyberspace|anno=2006|editore=Idea Group Inc (IGI)|isbn=1-59140-873-3|p=357}}</ref>
Nel Regno Unito le stesse leggi che coprono il crimine informatico possono anche interessare gli investigatori forensi. L'atto del Computer Misuse Act 1990 ha legiferato contro l'accesso non autorizzato al materiale informatico; questo può interessare gli investigatori civili che hanno più limitazioni rispetto alle forze dell'ordine.
Line 90 ⟶ 94:
[[File:PersonalStorageDevices.agr.jpg|thumb|Diverse forme di prove digitali]]
Se utilizzato in tribunale, le prove digitali rientrano nelle stesse linee guida legali di altre forme di prova; i tribunali di solito non richiedono linee guida troppo rigide<ref name="casey" /><ref name="legal">{{Cita web |titolo=Legal Aspects of Digital Forensics |url=http://euro.ecom.cmu.edu/program/law/08-732/Evidence/RyanShpantzer.pdf |accesso=31 agosto 2010 |autore=Daniel J. Ryan |autore2=Gal Shpantzer |urlmorto=
Le leggi che trattano le prove digitali riguardano due aspetti: integrità e autenticità. L'integrità garantisce che l'atto di sequestro e acquisizione dei media digitali non modifichi le prove (né l'originale né la copia). L'autenticità si riferisce alla capacità di confermare l'integrità delle informazioni; ad esempio che i media imaged corrispondono alle prove originali.<ref name="mocas" /> La facilità con cui i media digitali possono essere modificati lascia intendere che documentare la [[catena di custodia]] della scena del crimine, attraverso analisi e, in definitiva, in tribunale (una forma di [[audit]] trail) sia importante per stabilire l'autenticità delle prove.<ref name="casey" />
Line 111 ⟶ 115:
===Strumenti investigativi===
L'ammissibilità delle prove digitali si basa sugli strumenti utilizzati per estrarle. Negli Stati Uniti, gli strumenti forensi sono soggetti allo standard Daubert, in cui il giudice è responsabile di garantire che i processi e il software utilizzati siano accettati. In un documento del 2003, Brian Carrier sosteneva che le linee guida di Daubert richiedessero che il codice degli strumenti forensi venisse pubblicato e sottoposto a revisione paritetica. Ha concluso che ''gli strumenti open source possono soddisfare in modo più chiaro e completo i requisiti delle linee guida rispetto a quelli a codice chiuso''.<ref name="tools-legal">{{Cita web
|titolo=Open Source Digital Forensic Tools: The Legal Argument |autore=Brian Carrier
|editore=@stake Research Report
|data=October 2002
|url=http://www.digital-evidence.org/papers/opensrc_legal.pdf
|urlmorto=
|urlarchivio=https://web.archive.org/web/20110726000427/http://www.digital-evidence.org/papers/opensrc_legal.pdf
|dataarchivio=26 luglio 2011
|accesso=15 dicembre 2017
}}</ref> Nel 2011 Josh Brunty ha dichiarato che la convalida scientifica della tecnologia e del software associati all'esecuzione di un esame di digital forensics è fondamentale per qualsiasi processo di laboratorio. Sosteneva che la scienza digitale forense fosse fondata sui principi dei processi ripetibili e delle prove di qualità, quindi sapere come progettare e mantenere correttamente un buon processo di convalida è un requisito fondamentale per qualsiasi esaminatore di digital forensics per difendere i propri metodi in tribunale.<ref name="tools-validation">{{Cita web
|titolo=Validation of Forensic Tools and Software: A Quick Guide for the Digital Forensic Examiner
|autore=Brunty, Josh
|editore=Forensic Magazine
|data=March 2011
|url=http://www.forensicmag.com/article/2011/03/validation-forensic-tools-and-software-quick-guide-digital-forensic-examiner
|urlmorto=
|urlarchivio=https://web.archive.org/web/20170422033752/http://www.forensicmag.com/article/2011/03/validation-forensic-tools-and-software-quick-guide-digital-forensic-examiner
|dataarchivio=22 aprile 2017
|accesso=15 dicembre 2017
}}</ref>
==Rami==
Line 136 ⟶ 144:
L'obiettivo della scientifica forense è di spiegare lo stato corrente di un artefatto digitale, come un sistema informatico, un supporto di memorizzazione o un documento elettronico.<ref name="cf-education">{{Cita web|titolo= Computer forensics education |url= http://ieeexplore.ieee.org/iel5/8013/27399/01219052.pdf?arnumber=1219052 |editore=IEEE Security & Privacy |accesso=26 luglio 2010 |autore=A Yasinsac |autore2= RF Erbacher |autore3= DG Marks |autore4= MM Pollitt |anno=2003}}</ref> La disciplina di solito copre computer, [[sistemi embedded]] (dispositivi digitali con potenza di calcolo rudimentale e memoria integrata) e memoria statica (come le pen drive USB).
Computer forensics può trattare una vasta gamma di informazioni: dai registri (come la cronologia internet) ai file effettivi sul disco. Nel 2007 i pubblici ministeri hanno utilizzato un foglio di calcolo recuperato dal computer di [[Joseph E. Duncan III]] per mostrare la premeditazione e ottenere la [[pena di morte]].<ref name="handbook" /> L'assassino di Sharon Lopatka è stato identificato nel 2006 dopo che i messaggi di posta elettronica che descrivevano torture e fantasie di morte furono trovati sul suo computer.<ref name="casey" />
[[File:Mobiles.JPG|thumb|Telefono cellulare usato come prova nel Regno Unito]]
Line 159 ⟶ 167:
===Database forensics===
Database forensics è una branca della scientifica digitale relativa allo studio forense dei [[database]] e dei loro metadati<ref name="db" >{{Cita pubblicazione|cognome=Olivier|nome=Martin S.|titolo=On metadata context in Database Forensics|accesso=2 agosto 2010|doi=10.1016/j.diin.2008.10.001|data=March 2009|volume=5|numero=3–4|rivista=Digital Investigation|pp=
===IoT forensics===
{{Main|IoT Forensics}}
L'[[IoT Forensics|IoT forensics]] è un ramo della scienza digitale forense che ha come obiettivo l'identificazione e l'estrazione di informazioni digitali da dispositivi appartenenti al campo dell'Internet delle cose che possano essere utilizzate in investigazioni legali come possibili fonti di prova.
==Istruzione e ricerca==
Line 172 ⟶ 184:
<references/>
== Altri progetti ==
{{interprogetto}}
{{Scienza forense}}
{{portale|diritto|informatica}}
{{Controllo di autorità}}
| |||