La scienza forense digitale è una branca della scienza forense focalizzata sul recupero e l'indagine del materiale trovato nei dispositivi digitali e nei crimini informatici. La digital forensics è stata originariamente utilizzata come sinonimo di informatica forense, ma si è estesa per coprire le indagini su tutti i dispositivi che memorizzano dati digitali. 

Man mano che la società aumenta la dipendenza dai sistemi informatici e dal cloud computing, la digital forensics diventa un aspetto cruciale delle forze dell'ordine e delle imprese.

La scienza forense digitale si occupa dell'identificazione, della conservazione, dell'esame e dell'analisi delle prove digitali, utilizzando processi scientificamente accettati e validati, da utilizzare all'interno e all'esterno di un tribunale. 

Mentre la sua radice risale alla rivoluzione del personal computer alla fine degli anni '70, la computer forensics ha iniziato a prendere forma negli anni '90 e si è dovuto aspettare l'inizio del 21 ° secolo affinchè paesi come gli Stati Uniti iniziassero ad implementare politiche a livello nazionale.  

Oggi, l'aspetto tecnico di un'indagine è diviso in cinque rami che comprendono il sequestro, l'imaging forense e l'analisi dei media digitali:

  1. Computer forensics  La computer forensics è una branca della scienza forense digitale che si occupa di trovare prove nei computer e nei supporti di archiviazione digitali. L'obiettivo della informatica forense è esaminare i dati digitali allo scopo di identificare, conservare, recuperare, analizzare e presentare fatti e opinioni sulle informazioni digitali. 

    È utilizzato sia in reati informatici che in procedimenti civili. La disciplina ha tecniche e principi simili al recupero dei dati, con linee guida e pratiche aggiuntive progettate per creare una pista di controllo legale con una chiara catena di custodia. 

    Le prove fornite dalle indagini di informatica forense sono soggette alle stesse linee guida e pratiche di altre prove digitali. 

  2. Analisi forensi dei dispositivi mobile 

    La forensics sui dispositivi mobili è una branca dell'acquisizione dati forense focalizzata sul recupero delle prove digitali dai dispositivi mobili utilizzando metodi forensi. 

    Mentre la frase dispositivo mobile si riferisce generalmente ai telefoni cellulari, può riferirsi comunque a qualsiasi dispositivo che abbia memoria interna e capacità di comunicazione inclusi dispositivi PDA, dispositivi GPS e tablet. 

    Sebbene l'uso dei telefoni cellulari nella criminalità sia stato ampiamente riconosciuto per anni, lo studio forense dei telefoni cellulari è un nuovo campo, che ha avuto i suoi maggiori sviluppi a partire dalla fine degli anni '90. 

    La crescente necessità di analisi forensi dei dispositivi mobili è guidata da:

    • Utilizzo di telefoni cellulari per archiviare e trasmettere informazioni personali e aziendali
    • Utilizzo dei telefoni cellulari nelle transazioni online

    Detto questo, la digital forensics per i dispositivi mobili è particolarmente difficile a causa di:

    • Sfide tecniche evidenti come l'analisi della geolocalizzazione cellulare che consente si, di determinare approssimativamente la zona del sito cellulare da cui è stata effettuata o ricevuta una chiamata, ma non una posizione specifica come un univoco indirizzo
    • Cambiamenti nei fattori di forma del telefono cellulare, nei sistemi operativi, nella memorizzazione dei dati, nei servizi, nelle periferiche e persino nei connettori e nei cavi dei pin
    • Crescita della capacità di stoccaggio
    • La loro natura proprietaria
    • Comportamento di ibernazione in cui i processi sono sospesi quando il dispositivo è spento o inattivo

    Come risultato di queste sfide, esistono molti strumenti per estrarre prove dai dispositivi mobili. Ma nessuno strumento o metodo può acquisire tutte le prove da tutti i dispositivi in maniera certa e sicura al 100%. Ciò costringe gli esaminatori forensi, in particolare quelli esperti che successivamente dibatteranno nelle sedi opportune la valenza delle prove informatiche acquisite, a sottoporsi a formazione approfondita e continua per comprendere come ogni strumento e metodo acquisisce prove, come mantenga la solidità forense e come soddisfi i requisiti legali. 

  3. Analisi forensi della rete 

     

    La Network forensics è una branca della computer forensics focalizzata sul monitoraggio e l'analisi del traffico di rete di computer per la raccolta di informazioni, prove legali o rilevamento di intrusioni.

    In sostanza, la rete forense è un sotto-ramo della computer forensics stessa, una branca della scienza forense - per cui esperti e forze dell'ordine esaminano la tecnologia o i dati che possono contenere prove di un crimine o attribuire prove a sospetti, dichiarazioni incrociate o controlla gli alibi.

     

    Le forze dell'ordine useranno le analisi forensi della rete per analizzare i dati sul traffico di rete raccolti da una rete sospettata di essere utilizzata in attività criminali o in un attacco informatico. Gli analisti cercheranno dati che puntano alla comunicazione umana, alla manipolazione dei file e all'uso di determinate parole chiave, ad esempio.

    Al di fuori delle indagini penali, le analisi forensi della rete sono comunemente utilizzate per analizzare gli eventi della rete al fine di rintracciare la fonte di attacchi di hacking e altre incidenze legate alla sicurezza.

    Ciò può comportare l'esame di aree sospette della rete, la raccolta di informazioni su anomalie e artefatti della rete e la scoperta di incidenti di accesso non autorizzato alla rete.

    La scienza forense della rete si riferisce alle indagini e all'analisi di tutto il traffico che attraversa una rete sospettata di essere utilizzata nel crimine informatico, ad esempio la diffusione del malware che ruba i dati o l'analisi degli attacchi informatici.

    • Monitoraggio di una rete per traffico anomalo e identificazione di intrusioni.
    • Le forze dell'ordine possono analizzare il traffico di rete di acquisizione nell'ambito di indagini penali.
  4. Analisi dei dati forensi 

    L'analisi dei dati forensi (FDA) è una branca della scienza forense digitale che esamina i dati strutturati in relazione agli incidenti di criminalità finanziaria. L'obiettivo è scoprire e analizzare modelli di attività fraudolente. I dati strutturati sono dati dai sistemi applicativi o dai loro database. 

    Ciò può essere contrapposto a dati non strutturati tratti da comunicazioni, applicazioni per ufficio e dispositivi mobili. I dati non strutturati non hanno una struttura generale e l'analisi significa quindi applicare parole chiave o schemi di mappatura. L'analisi dei dati non strutturati viene di solito eseguita da esperti di informatica forense o di dispositivi mobili. 

  5. Database forense 

    Database forensics è una branca della computer forensics relativa ai database e ai relativi metadati. Le informazioni memorizzate nella cache possono anche esistere nella RAM di un server che richiede tecniche di analisi live. 

    Un esame forense di un database può riguardare i timestamp che si applicano al tempo di aggiornamento di una riga in un database relazionale che viene ispezionato e testata la validità, per verificare le azioni di un utente del database. In alternativa, può concentrarsi sull'identificazione delle transazioni all'interno di un database o di un'applicazione che indicano prove di illeciti, come la frode.