{"id":55339,"date":"2020-02-29T22:56:34","date_gmt":"2020-02-29T21:56:34","guid":{"rendered":"https:\/\/www.alground.com\/site\/?p=55339"},"modified":"2023-01-09T11:42:27","modified_gmt":"2023-01-09T10:42:27","slug":"cosa-computer-forensics","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/cosa-computer-forensics\/55339\/","title":{"rendered":"Cos&#8217;\u00e8 la computer forensics"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f6e5f76592c\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f6e5f76592c\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/cosa-computer-forensics\/55339\/#Computer_forensics_Panoramica\" >Computer forensics. Panoramica<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/cosa-computer-forensics\/55339\/#Computer_forensic_nel_processo\" >Computer forensic nel processo<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/cosa-computer-forensics\/55339\/#Le_Tecniche\" >Le Tecniche<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/cosa-computer-forensics\/55339\/#Dati_volatili\" >Dati volatili<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/cosa-computer-forensics\/55339\/#Leggi_di_riferimento\" >Leggi di riferimento<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Computer forensics (noto anche come computer forensic science) \u00e8 una branca della scienza forense digitale relativa alle prove trovate nei computer e nei supporti di archiviazione digitali. L&#8217;obiettivo della informatica forense \u00e8 esaminare i media digitali in modo forense con l&#8217;obiettivo di identificare, conservare, recuperare, analizzare e presentare fatti e opinioni sulle informazioni digitali.<\/p>\n\n\n\n<p>Sebbene sia spesso associato alle indagini su una vasta gamma di reati informatici, pu\u00f2 essere utilizzata anche nei procedimenti civili. La disciplina prevede tecniche e principi simili al recupero dei dati, ma con linee guida e pratiche aggiuntive progettate per creare una linea di controllo legale.<\/p>\n\n\n\n<p>Le prove fornite dalle indagini di informatica forense sono generalmente soggette alle stesse linee guida e pratiche di altre prove digitali. \u00c8 stato utilizzato in numerosi casi di alto profilo e sta diventando ampiamente riconosciuto come affidabile nei sistemi giudiziari statunitensi ed europei.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Computer_forensics_Panoramica\"><\/span>Computer forensics. Panoramica <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>All&#8217;inizio degli anni &#8217;80 i personal computer sono diventati pi\u00f9 accessibili ai consumatori, determinando un loro maggiore utilizzo nelle attivit\u00e0 criminali (ad esempio per contribuire a commettere frodi). Allo stesso tempo, sono stati riconosciuti diversi nuovi &#8220;crimini informatici&#8221; (come il cracking). La disciplina della informatica forense \u00e8 emersa durante questo periodo come metodo per recuperare e investigare prove digitali da utilizzare in tribunale. Da allora la criminalit\u00e0 informatica \u00e8 cresciuta e ed \u00e8 aumentata del 67% da il 2002. Oggi \u00e8 utilizzato per indagare su una vasta gamma di reati, tra cui pornografia infantile, frode, spionaggio, cyberstalking, omicidio e stupro. La disciplina figura anche nei procedimenti civili come una forma di raccolta di informazioni (ad esempio, frodi finanziarie)<\/p>\n\n\n\n<p>Le tecniche forensi e le conoscenze specialistiche sono utilizzate per spiegare lo stato di un artefatto digitale, come un sistema informatico, un supporto di memorizzazione (ad esempio un disco rigido o un CD-ROM) o un documento elettronico (ad esempio un messaggio di posta elettronica o un&#8217;immagine JPEG). L&#8217;ambito di un&#8217;analisi forense pu\u00f2 variare dal semplice recupero di informazioni alla ricostruzione di una serie di eventi. In un libro del 2002, Computer Forensics , gli autori Kruse ed Heiser definiscono la informatica forense come &#8220;conservazione, identificazione, estrazione, documentazione e interpretazione dei dati informatici&#8221;. Continuano a descrivere la disciplina come &#8220;pi\u00f9 di un&#8217;arte che di una scienza&#8221;, indicando che la metodologia forense \u00e8 supportata da flessibilit\u00e0 e conoscenza approfondita del campo. Tuttavia, mentre diversi metodi possono essere utilizzati per estrarre prove da un determinato computer, le strategie utilizzate dalle forze dell&#8217;ordine sono piuttosto rigide e mancano della flessibilit\u00e0 riscontrata nel mondo civile. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Computer_forensic_nel_processo\"><\/span>Computer forensic nel processo<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Le indagini forensi informatiche di solito seguono il processo o le fasi forensi digitali standard che sono acquisizione, esame, analisi e rendicontazione. Le indagini vengono eseguite su dati statici (ad esempio immagini acquisite ) anzich\u00e9 su sistemi &#8220;live&#8221;. Questo \u00e8 un cambiamento rispetto alle prime pratiche forensi in cui la mancanza di strumenti specialistici ha portato gli investigatori a lavorare comunemente su dati in tempo reale.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Le_Tecniche\"><\/span>Le Tecniche <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Numerose tecniche sono utilizzate durante le indagini di informatica forense e molto \u00e8 stato scritto sulle molte tecniche utilizzate dalle forze dell&#8217;ordine in particolare.<\/p>\n\n\n\n<p><strong>Analisi cross-drive<\/strong><br>Una tecnica forense che mette in relazione le informazioni trovate su pi\u00f9 dischi rigidi. Il processo, ancora oggetto di ricerca, pu\u00f2 essere utilizzato per identificare i social network ed eseguire il rilevamento di anomalie. <br><strong>Analisi dal vivo<\/strong><br>L&#8217;esame dei computer all&#8217;interno del sistema operativo utilizzando strumenti forensi personalizzati o strumenti di amministratore di sistema esistenti per estrarre prove. La pratica \u00e8 utile quando si ha a che fare con Crittografia dei file system, ad esempio, in cui \u00e8 possibile raccogliere le chiavi di crittografia e, in alcuni casi, il volume del disco rigido logico pu\u00f2 essere ripreso (noto come acquisizione live) prima che il computer venga spento.<br><strong>File cancellati<br><\/strong>Una tecnica comune utilizzata in informatica forense \u00e8 il recupero di file cancellati. I moderni software forensi hanno i propri strumenti per il recupero dei dati cancellati. La maggior parte dei sistemi operativi e dei file system non cancella sempre i dati dei file fisici, consentendo agli investigatori di recuperarli dai settori del disco fisico. La ricostruzione di file comporta la ricerca di intestazioni conosciute all&#8217;interno dell&#8217;immagine del disco e la ricostruzione di materiali eliminati.<br><strong>Forense stocastica<br><\/strong>Un metodo che utilizza propriet\u00e0 stocastiche (modello matematico adatto a studiare l&#8217;andamento dei fenomeni che seguono leggi casuali, probabilistiche) del sistema informatico per studiare attivit\u00e0 prive di artefatti digitali. Il suo principale utilizzo \u00e8 indagare sul furto di dati.<br><strong>Steganografia<\/strong><br>Una delle tecniche utilizzate per nascondere i dati \u00e8 tramite la steganografia, il processo di nascondere i dati all&#8217;interno di un&#8217;immagine. Un esempio potrebbe essere quello di nascondere immagini pornografiche di minori o altre informazioni che un determinato criminale non vuole venga scoperto. I professionisti della informatica forense possono contrastare questo aspetto osservando l&#8217;hash del file e confrontandolo con l&#8217;immagine originale (se disponibile). Mentre l&#8217;immagine appare esattamente la stessa, l&#8217;hash cambia man mano che i dati cambiano. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Dati_volatili\"><\/span>Dati volatili <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Quando si acquisiscono prove, se la macchina \u00e8 ancora attiva, qualsiasi informazione memorizzata esclusivamente nella RAM che non viene recuperata prima dello spegnimento potrebbe andare persa.  Un&#8217;applicazione di &#8220;analisi dal vivo&#8221; \u00e8 quella di recuperare i dati RAM (ad esempio, utilizzando lo strumento COFEE di Microsoft , WinDD, WindowsSCOPE ) prima di rimuovere un&#8217;esposizione. CaptureGUARD Gateway ignora l&#8217;accesso a Windows per i computer bloccati, consentendo l&#8217;analisi e l&#8217;acquisizione della memoria fisica su un computer bloccato.<\/p>\n\n\n\n<p>La RAM pu\u00f2 essere analizzata per il contenuto precedente dopo la perdita di potenza, poich\u00e9 la carica elettrica immagazzinata nelle celle di memoria impiega tempo a dissiparsi, un effetto sfruttato dall&#8217;attacco di avvio a freddo. Il periodo di tempo in cui i dati sono recuperabili viene aumentato dalle basse temperature e dalle tensioni delle celle pi\u00f9 elevate. Mantenere una RAM non alimentata al di sotto di -60\u00b0C aiuta a preservare i dati residui di un ordine di grandezza, migliorando le possibilit\u00e0 di successo del recupero. Tuttavia, pu\u00f2 essere poco pratico farlo durante una visita sul campo. <\/p>\n\n\n\n<p>Alcuni degli strumenti necessari per estrarre dati volatili, tuttavia, richiedono che un computer si trovi in \u200b\u200bun laboratorio forense, sia per mantenere una catena di prove legittima, sia per facilitare il lavoro sulla macchina. Se necessario, le forze dell&#8217;ordine applicano tecniche per spostare un computer desktop attivo e in esecuzione. Questi includono un jiggler del mouse, che sposta rapidamente il mouse con piccoli movimenti e impedisce al computer di andare in standby accidentalmente. Di solito, un gruppo di continuit\u00e0 (UPS) fornisce energia durante il transito.<\/p>\n\n\n\n<p>Tuttavia, uno dei modi pi\u00f9 semplici per acquisire i dati \u00e8 in realt\u00e0 salvare i dati RAM su disco. Vari file system con funzionalit\u00e0 di journaling come NTFS e ReiserFS mantengono gran parte dei dati RAM sul supporto di archiviazione principale durante il funzionamento e questi file possono essere riassemblati per ricostruire ci\u00f2 che era in RAM in quel momento. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Leggi_di_riferimento\"><\/span>Leggi di riferimento<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>In Italia, la legge di riferimento che definisce come utilizzare a livello giuridico i risultati di un&#8217;attivit\u00e0 di analisi forense in tribunale, \u00e8 la legge 18 marzo 2008 n. 48, che ha ratificato la Convenzione del Consiglio d&#8217;Europa sulla criminalit\u00e0 informatica, stipulata a Budapest il 23 novembre 2001.<\/p>\n\n\n\n<p><strong>La norma prevede:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>sanzioni pi\u00f9 pesanti per i reati informatici;<\/li><li> norme di contrasto pi\u00f9 efficace alla pedopornografia in rete;<\/li><li> sanzioni anche a carico delle societ\u00e0;<\/li><li> possibilit\u00e0 per le forze dell&#8217;ordine di chiedere al provider il congelamento dei dati telematici per 6 mesi;<\/li><li> maggiori tutele per i dati personali<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Computer forensics (noto anche come computer forensic science) \u00e8 una branca della scienza forense digitale relativa alle prove trovate nei computer e nei supporti di archiviazione digitali. L&#8217;obiettivo della informatica forense \u00e8 esaminare i media digitali in modo forense con l&#8217;obiettivo di identificare, conservare, recuperare, analizzare e presentare fatti e opinioni sulle informazioni digitali. Sebbene [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":55344,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[2045,387,1916,2123,359],"tags":[],"class_list":{"0":"post-55339","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-export","8":"category-guide-sicurezza","9":"category-how-to","10":"category-sistemi","11":"category-editoriali","12":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2020\/02\/computer-forensic-evid.jpg","wps_subtitle":"L'informatica forense, comunemente chiamata computer forensic \u00e8 un campo molto specifico dell'informatica che si interfaccia con le indagini legali","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/55339","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=55339"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/55339\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/55344"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=55339"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=55339"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=55339"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}