Caratteristiche e Concetti

Proprietà

La fase di raccolta (o acquisizione) del processo di investigazione, dovrebbe garantire le seguenti proprietà:

• Affidabilità: Non devono esservi dubbi o perplessità in merito all'autenticità e sui risultati ottenuti
• Completezza: Devono essere acquisite tutte le informazioni rilevanti, non solo quelle di una parte del caso
• Accuratezza: Non devono essere presenti errori nella raccolta dei dati
• Verificabilità: La metodologia deve essere chiara e riproducibile

Acquisizione dei Dati

• L'acquisizione dei dati (data acquisition) è l'attività principale della fase di raccolta (o acquisizione) del processo di investigazione
• I dati rilevanti vengono acquisiti, da parte di un investigatore, principalmente da due fonti:
  • Live Systems: Nel caso ci si trovi in presenza di un live system, si considerano anche i live data
  • Dead Systems: Nell'acquisizione di dati da un dead system, deve essere effettuata una immagine forense attenendosi scrupolosamente a passi ben stabiliti, in modo che l'acquisizione avvenga in maniera valida

Bloccare le Scritture

• Le prove originali devono essere utilizzate esclusivamente per effettuare delle “copie esatte”, sulle quali condurre l'analisi forense
• Per evitare che vi siano alterazioni dei dati è necessario utilizzare un write blocker
• Un write blocker ha il compito di evitare che vi siano scritture sui dati (è possibile solo effettuare operazioni di lettura)
• I write blocker possono essere:
  • Implementati via software
  • Dispositivi hardware dedicati

Immagini Forensi e Hash

Per la creazione di una copia esatta di un disco fisso (o un altro tipo di supporto di memorizzazione), sono possibili due opzioni:

Duplication:

• La destinazione è un altro disco fisso della stessa marca, dello stesso modello e della stessa taglia del disco fisso sorgente
• Tutto il disco sorgente viene replicato esattamente nella destinazione
  • L'obiettivo è quello di ottenere una copia esatta, identica in ogni aspetto