Wikipedia

Scienza digitale forense

La digital forensics (conosciuta anche come digital forensic science) è un ramo della scienza forense che comprende il recupero e l'indagine del materiale trovato nei dispositivi digitali, spesso in relazione a eventi di criminalità informatica.[1][2] Il termine digital forensics inizialmente utilizzato come sinonimo di computer forensics è stato ampliato per coprire l'indagine di tutti i dispositivi in grado di memorizzare i dati digitali.[1] Nata durante la rivoluzione informatica dei tardi anni '70 e nei primi anni '80, la disciplina si è evoluta in maniera casuale durante gli anni '90 e solo all'inizio del XXI secolo è emersa nella politica nazionale.

Foto aerea di FLETC, dove gli standard americani di forensics sono stati sviluppati negli anni '80 e '90

Le indigini della Digital forensics hanno una varietà di applicazioni. Il più comune è quello di sostenere o confutare un'ipotesi davanti ad un processo penale o civile . Può inoltre interessare il settore privato; ad esempio durante indagini aziendali interne o indagini di intrusione (indagine specialistica sulla natura e l'entità di un' intrusione nella rete non autorizzata).

L'aspetto tecnico di un'inchiesta è suddiviso in più sottogruppi, relativi al tipo di apparecchiature digitali coinvolte; computer forensics, Network forensics, Forensic data analysis e mobile device forensics. Il tipico processo forense prevede il sequestro, il forensic imaging (acquisizione), l'analisi dei media digitali e la produzione di una relazione delle prove raccolte.

Oltre a identificare prove dirette di un crimine, la digital forensics può essere utilizzata per attribuire prove a specifici indagati, confermare gli alibi o le dichiarazioni, determinare l'intento, identificare le fonti (ad esempio, nei casi di copyright) o autenticare i documenti.[3] Le indagini sono molto più ampie rispetto ad altre aree di analisi forense (dove l'obiettivo consueto è quello di fornire risposte a una serie di domande più semplici) spesso implicano complesse ipotesi o time-lines.[4]

Storia

Prima degli anni '80, i crimini informatici venivano trattati tramite le sole leggi esistenti. I primi casi di crimine informatico furono riconosciuti nel 1978 in Florida, includevano leggi contro la modifica non autorizzata o la cancellazione di dati su un sistema informatico.[5][6] Con l’aumentare dei crimini informatici, nel corso degli anni, furono approvate leggi per trattare problemi di copyright, privacy/molestia (ad es., Cyberbullismo, cyber stalking, e online predator) e pornografia infantile.[7][8] Fu solo dagli anni '80 che le leggi federali iniziarono a comprendere anche i reati informatici. Il primo paese ad approvare la nuova legislazione fu il Canada nel 1983. [6] Seguì nel 1986 la legge statunitense sulla frode e l'abuso di computer, nel 1986 dagli emendamenti australiani ai loro atti criminali e dal British Computer Misuse Act del 1990.[6][8]

1980–1990: Crescita del campo

La crescita della criminalità informatica negli anni '80 e '90 ha indotto le forze dell'ordine a istituire gruppi specializzati, solitamente a livello nazionale, per gestire gli aspetti tecnici delle indagini. Per esempio, nel 1984 l'FBI lanciò un Computer Analysis and Response Team e l'anno seguente fu creato un dipartimento per la criminalità informatica all'interno della squadra antifrode della Metropolitan Police britannica. Oltre ad essere professionisti delle forze dell'ordine, molti dei primi membri di questi gruppi erano anche informatici per hobby e divennero responsabili della ricerca iniziale e della direzione del campo. [9] [10]

Uno dei primi esempi pratici (o almeno resi noti) di digital forensics è stata la ricerca da parte di Cliff Stoll dell’hacker Markus Hess nel 1986. Stoll, fece uso nell’investigazione di tecniche computer and network forensic. [11] Molti delle prime ispezioni forensi seguirono lo stesso meccanismo.[12]

Per tutti gli anni '90 ci fu un una forte richiesta di queste nuove e fondamentali risorse investigative. Vennero creati gruppi a livello regionale, e persino locale, per aiutare a gestire la crescente domanda. Per esempio, la National Hi-Tech Crime Unit nacque nel 2001 per fornire un’infrastruttura nazionale contro la criminalità informatica, con personale situato a livello centrale a Londra e con varie forze di polizia regionali (l'unità è stata trasformata nell'Agenzia Serious Organised Crime (SOCA) nel 2006).[10]

Durante questo periodo la scienza della digital forensics è crescuta grazie agli strumenti e tecniche ad hoc sviluppati da professionisti hobbisti. Al contrario di altre discipline forensi che sono sviluppate dal lavoro della comunità scientifica. [1][13] Fino al 1992 il termine "computer forensics" è stato usato nella letteratura accademica (anche se prima veniva usato in modo informale); un saggio di Collier e Spaul ha tentato di giustificare questa nuova disciplina al mondo della scienza forense. [14][15] Questo rapido sviluppo ha comportato una mancanza di standardizzazione e formazione. Nel suo libro del 1995 " High-Technology Crime: Investigating Cases Involving Computers ", K. Rosenblatt scrisse:

«Cogliere, preservare e analizzare le prove archiviate su un computer è la più grande sfida forense delle forze dell'ordine negli anni '90. Sebbene la maggior parte dei test forensi, come le impronte digitali e il test del DNA, siano eseguiti da esperti appositamente formati, il compito di raccogliere e analizzare le prove informatiche è spesso assegnato a ufficiali di pattuglia e investigatori.[16]»

Anni 2000: Sviluppo degli standard

Dal 2000, in risposta all'esigenza di standardizzazione, vari organismi e agenzie pubblicarono linee guida per la digital forensics. . Il Scientific Working Group on Digital Evidence(SWGDE) produsse un documento del 2002, "Best practice for Computer Forensics", che fu seguito, nel 2005, dalla pubblicazione di uno standard ISO (ISO 17025, General requirements for the competence of testing and calibration laboratories) .[6][17][18]La Convenzione sulla criminalità informatica, è entrato in vigore nel 2004 con l'obiettivo di riconciliare le leggi nazionali sulla criminalità informatica, le tecniche investigative e la cooperazione internazionale. Il trattato è stato firmato da 43 nazioni (tra cui Stati Uniti, Canada, Giappone, Sudafrica, Regno Unito e altre nazioni europee) e ratificato da 16. Venne trattato anche il programma di formazione. Le società commerciali (spesso sviluppatrici di software forense) iniziarono ad offrire programmi di certificazione e digital forensic analysis venne incluso come argomento per la formazione degli ’investigatori speciali del Regno Unito, Centrex.[6][10]

Dalla fine degli anni '90 i dispositivi mobili sono ampiamente aumentati, superando i semplici dispositivi di comunicazione, e sono diventati ricche fonte di informazione, anche per reati non tradizionalmente associati alla digital forensics. [19] ]. Nonostante questo, l'analisi digitale dei telefoni è rimasta indietro rispetto ai tradizionali supporti informatici, in gran parte a causa di problemi relativi alla natura proprietaria dei dispositivi.[20]

L'attenzione si è spostata anche sulla criminalità su Internet, in particolare sul rischio di guerra cibernetica e cyber-terrorismo. Una relazione del febbraio 2010 del [[Progetto Alpha (robotica)|comando delle forze congiunte degli Stati Uniti] ha concluso:

«Attraverso il cyberspazio, i nemici si rivolgeranno all'industria, al mondo accademico, al governo, così come ai militari nei domini aerei, terrestri, marittimi e spaziali. Più o meno allo stesso modo in cui la potenza aerea ha trasformato il campo di battaglia della Seconda Guerra Mondiale, il cyberspazio ha spezzato le barriere fisiche che proteggono una nazione dagli attacchi al commercio e alla comunicazione.[21]

[5]»

Il campo della digital forensics affronta ancora problemi irrisolti. Un documento del 2009, " Digital Forensic Research: The Good, the Bad and the Unaddressed ", di Peterson e Shenoi ha identificato un pregiudizio verso i sistemi operativi Windows nella ricerca scientifica forense. [22] Nel 2010 Simson Garfinkel ha identificato le problematiche relative alle indagini digitali in futuro, includendo l’incremento dei media digitali, l'ampia disponibilità di crittografia per i consumatori, una crescente varietà di sistemi operativi e formati di file, un crescente numero di individui che possiedono più dispositivi e con conseguenti limitazioni sulle investigazioni. Il documento ha inoltre identificato i problemi di formazione continua e il costo proibitivo dell'ingresso sul campo .[11]

Sviluppo di strumenti forensi

Durante gli anni '80 esistevano pochissimi strumenti forensi digitali specializzati e di conseguenza gli investigatori spesso eseguivano analisi in tempo reale sui media, esaminando i computer dall'interno del sistema operativo utilizzando gli strumenti di sysadmin esistenti per estrarre le prove. Questa pratica comportava il rischio di modificare i dati sul disco inavvertitamente o in altro modo, portando a richieste di manomissione delle prove. Durante i primi anni '90 sono stati creati numerosi strumenti per risolvere il problema.

La necessità di tale software è stata riconosciuta per la prima volta nel 1989 presso il Federal Law Enforcement Training Center, con la conseguente creazione di IMDUMP (di Michael White) e, nel 1990, SafeBack (sviluppato da Sydex). Software simili furono sviluppati in altri paesi; DIBS (una soluzione hardware e software) venne rilasciata commercialmente nel Regno Unito nel 1991 e Rob McKemmish rilasciò Fixed Disk Image gratuitamente per le forze dell'ordine australiane. [9] Questi strumenti consentirono agli esaminatori di creare una copia esatta di un pezzo di supporto digitale su cui lavorare, lasciando intatto il disco originale per la verifica. Alla fine degli anni '90, con la crescita della domanda di prove digitali, sono stati sviluppati strumenti commerciali più avanzati come EnCase e FTK, consentendo agli analisti di esaminare le copie dei media senza utilizzare alcun sistema di analisi forense. [6] Più recentemente, è cresciuta una tendenza verso la "memoria forense", con conseguente disponibilità di strumenti come WindowsSCOPE. Più recentemente, si è verificata la stessa progressione dello sviluppo degli strumenti per i dispositivi mobili; inizialmente gli investigatori accedevano ai dati direttamente sul dispositivo, ma presto apparvero strumenti specializzati come XRY o Radio Tactics Aceso. [6]

Note

  1. ^ a b c An examination of digital forensic models, su citeseerx.ist.psu.edu, International Journal of Digital Evidence, 2002. URL consultato il 2 August 2010 (archiviato il 15 October 2012).
  2. ^ B Carrier, Defining digital forensic examination and analysis tools, su citeseerx.ist.psu.edu, Digital Research Workshop II, 2001. URL consultato il 2 August 2010 (archiviato il 15 October 2012).
  3. ^ Various, Handbook of Digital Forensics and Investigation, a cura di Eoghan Casey, Academic Press, 2009, p. 567, ISBN 0-12-374267-6. URL consultato il 27 August 2010.
  4. ^ Brian D Carrier, Basic Digital Forensic Investigation Concepts, su digital-evidence.org, 7 June 2006 (archiviato il 26 febbraio 2010).
  5. ^ a b Florida Computer Crimes Act, su clas.ufl.edu. URL consultato il 31 August 2010 (archiviato il 12 June 2010).
  6. ^ a b c d e f Eoghan Casey, Digital Evidence and Computer Crime, Second Edition, Elsevier, 2004, ISBN 0-12-163104-4.
  7. ^ Aaron Phillip, Hacking Exposed: Computer Forensics, McGraw Hill Professional, 2009, p. 544, ISBN 0-07-162677-8. URL consultato il 27 August 2010.
  8. ^ a b M. E. M, A Brief History of Computer Crime: A (PDF), su mekabay.com, Norwich University. URL consultato il 30 August 2010 (archiviato il 21 August 2010).
  9. ^ George M. Mohay, Computer and intrusion forensics, Artechhouse, 2003, p. 395, ISBN 1-58053-369-8.
  10. ^ a b c Peter Sommer, The future for the policing of cybercrime, in Computer Fraud & Security, vol. 2004, n. 1, January 2004, pp. 8–12, DOI:10.1016/S1361-3723(04)00017-X.
  11. ^ a b Simson L. Garfinkel, Digital forensics research: The next 10 years, in Digital Investigation, vol. 7, August 2010, DOI:10.1016/j.diin.2010.05.009.
  12. ^ Computer forensics for dummies, For Dummies, 2008, p. 384, ISBN 0-470-37191-9.
  13. ^ Forensic analysis in the digital world (DOC), su utica.edu, International Journal of Digital Evidence, 2002. URL consultato il 2 August 2010.
  14. ^ Wilding, E., Computer Evidence: a Forensic Investigations Handbook, London, Sweet & Maxwell, 1997, p. 236, ISBN 0-421-57990-0.
  15. ^ A forensic methodology for countering computer crime, in Computers and Law, Intellect Books, 1992.
  16. ^ K S Rosenblatt, High-Technology Crime: Investigating Cases Involving Computers, KSK Publications, 1995, ISBN 0-9648171-0-1. URL consultato il 4 August 2010.
  17. ^ Best practices for Computer Forensics (PDF), su swgde.org, SWGDE. URL consultato il 4 August 2010 (archiviato dall'url originale il 27 December 2008).
  18. ^ ISO/IEC 17025:2005, su iso.org, ISO. URL consultato il 20 August 2010 (archiviato il 5 August 2011).
  19. ^ SG Punja, Mobile device analysis (PDF), in Small Scale Digital Device Forensics Journal, 2008.
  20. ^ Rizwan Ahmed, Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective (PDF), in 6th International Conference on E-Governance, 2008.
  21. ^ "The Joint Operating Environment" Archiviato il 10 agosto 2013 in Internet Archive., Report released, 18 February 2010, pp. 34–36
  22. ^ Digital Forensic Research: The Good, the Bad and the Unaddressed, in Advances in Digital Forensics V, vol. 306, Springer Boston, 2009, pp. 17–36, DOI:10.1007/978-3-642-04155-6_2.
Estratto da "https://it.wikipedia.org/w/index.php?title=Scienza_digitale_forense&oldid=92678549"