Page 26 - Digital forensics
P. 26
D Processo di cristallizzazione della prova
conservazione, che devono essere documentate per iscritto, anche per identifi care
eventuali manomissioni e responsabilità da un passaggio all’altro.
Il processo di cristallizzazione della fonte di prova è un’attività mirata a congela-
re i dati contenuti nel sistema in modo da attribuirgli le caratteristiche di protezione
richieste, defi nite anche dalle Best Practices del settore. Si considerino, ad esem-
pio, le informazioni che sono memorizzate all’interno dei fi le di log di un server: tali
log vengono sovrascritti con una certa periodicità, pertanto è essenziale estrarre le
informazioni che possano confi gurarsi come fonte di prova prima che queste ven-
gano cancellate o modifi cate.
Più in generale, il processo della digital forensics prevede l’esecuzione delle
seguenti macro-attività:
• riconoscimento e identifi cazione della fonte di prova;
• acquisizione del dato (o del sistema);
• conservazione, protezione e analisi del dato (o del sistema), trasversale rispetto
a tutte le successive fasi;
• presentazione dei risultati estratti dall’analisi (sotto il profi lo tecnico, giuridico e
investigativo);
Tali macro-attività rappresentano il ciclo di vita del dato nell’ambito dell’analisi
forense dal momento della sua identifi cazione fi no alla chiusura delle attività. In
particolare, le azioni più delicate di cristallizzazione sono quelle relative ai primi
tre punti. Il successivo indica una fase meno delicata, ma non meno importante, in
quanto si lavora su una copia forense del dato in parola. Comunque, le attività de-
vono essere sempre affi ancate dalla redazione della documentazione sulla catena
di custodia e di appositi verbali nei quali vengono riportate dettagliatamente tutte le
attività svolte.
D1.1 Riconoscimento e identificazione della fonte di prova
Il punto di partenza di ogni attività investigativa è il sopralluogo sulla scena del
crimine, ossia un mezzo di ricerca della prova che mira a descrivere il più fedel-
mente possibile il luogo in cui è stato commesso il fatto. I dispositivi elettronici sono
sempre più diff usi sulla crime scene, e per questo è bene tenere a mente una serie
di nozioni di base che possono aiutare l’operatore ad inquadrare meglio le opera-
zioni da eff ettuare.
Innanzitutto bisogna proteggere la scena crimine: l’area interessata deve es-
sere presidiata da personale e delimitata con nastri, in modo che non possano
accedervi persone non autorizzate. Il fi rst-responder, ossia il primo ad arrivare sulla
scena del crimine, deve iniziare un meticoloso inventario e preservare lo stato dei
luoghi fi nché non arriveranno i tecnici informatici, procedendo se del caso ad un
accertamento urgente ex art. 354 CPP: "Se vi è pericolo che le cose, le tracce e
i luoghi si disperdano o comunque si modifi chino e il Pubblico Ministero non può
intervenire tempestivamente, gli uffi ciali di Polizia Giudiziaria compiono i necessari
accertamenti e rilievi sullo stato dei luoghi e delle cose...".
Nello specifi co, è consigliabile:
• non avere fretta;
• non improvvisarsi esperti di sistemi sconosciuti;
• non usare strumenti non collaudati;
• non esprimere pareri personali prima di aver analizzato i dati;
140
