Capitolo 1 — Digital Forensics: le basi

Cos'è: uso di metodi scientificamente provati per conservare, raccogliere, analizzare e presentare prove digitali. Scopo: ricostruire crimini e prevenire azioni future.

Principio di Locard: ogni azione lascia una traccia — vale anche nel digitale. Aprire un file, navigare, eseguire un programma: tutto lascia segni.

Le 5 fasi dell'investigazione:

Fase Cosa si fa
Identificazione Si rileva il crimine, si identificano fonti e dispositivi rilevanti
Raccolta Si copiano i dati con strumenti forensi appropriati
Ispezione Si ristrutturano i dati grezzi per renderli analizzabili
Analisi Si determinano i fatti, le prove significative, i responsabili
Presentazione Si produce il report finale per tribunale o enti preposti

First Responder: chi arriva per primo. Documenta la scena, mette in sicurezza, preserva le prove. Porta con sé: indumenti protettivi, braccialetti antistatici, evidence bag, write blocker, fotocamera.

Live vs Dead system:

File di paging: estensione della RAM su disco. Meno volatile della RAM, può contenere password, documenti, processi. Va sempre ispezionato.

Chain of Custody: traccia documentata di ogni passaggio della prova — chi, quando, dove, come. Senza di essa la prova rischia di non essere ammissibile.

Caso Garlasco: esempio italiano di procedure scorrette. I carabinieri accedono ripetutamente al PC senza tecniche forensi, contaminando le prove. Le procedure non erano regolamentate fino al 2008.

Principi ACPO:

  1. Non modificare i dati originali
  2. Chi accede deve essere competente e documentare
  3. Tutto deve essere riproducibile da terzi
  4. Il responsabile garantisce il rispetto della legge

Capitolo 2 — Acquisizione dei Dati

4 proprietà dell'acquisizione: affidabilità, completezza, accuratezza, verificabilità.