L'informatica forense, nota anche come scienza digitale forense o cibernetica forense, combina l'informatica e la scienza forense per raccogliere prove digitali in modo da renderle ammissibili in tribunale.
Allo stesso modo in cui le forze dell’ordine setacciano le scene del crimine alla ricerca di indizi, gli investigatori informatici forensi cercano nei dispositivi digitali prove che i legali possano utilizzare in indagini penali, cause civili, indagini sulla criminalità informatica e altre questioni di sicurezza aziendale e nazionale. Proprio come le loro controparti in divisa, gli investigatori informatici devono essere esperti non solo nella ricerca di prove digitali, ma nella loro raccolta, gestione ed elaborazione, per garantirne l'attendibilità e la conseguente ammissibilità in sede di giudizio.
L’informatica forense è strettamente correlata alla sicurezza informatica. I risultati dell'analisi informatica forense possono aiutare i team di sicurezza informatica ad accelerare il rilevamento e la risoluzione delle minacce informatiche e prevenire futuri attacchi informatici. Una disciplina emergente di sicurezza informatica, la Digital Forensics and Incident Response (DFIR), integra le attività tipiche dell'informatica forense e delle tecniche di risposta agli incidenti per velocizzare la neutralizzazione delle minacce informatiche, garantendo al contempo che qualsiasi prova digitale ad esse legate non subisca compromissioni.
L'informatica forense acquisì importanza per la prima volta agli inizi degli anni '80 con l'invenzione del personal computer. Mentre la tecnologia diventava un punto fermo nella vita di tutti i giorni, i criminali si resero conto delle possibilità offerta dalle nuove tecnologie e iniziarono a perpetrare crimini sui dispositivi elettronici.
Poco dopo, Internet cominciava quasi da un giorno all'altro a mettere in connessione praticamente tutti, consentendo l'accesso e-mail e d remoto alle reti informatiche aziendali e organizzative e aprendo le porte a malware e attacchi informatici più complessi. In risposta a questa nuova frontiera del crimine informatico, le forze dell’ordine avevano bisogno di un sistema per indagare e analizzare i dati elettronici. Da questa esigenza nasce l’informatica forense.
Inizialmente, la maggior parte delle prove digitali era rinvenuta su sistemi informatici e dispositivi IT: personal computer, server, telefoni cellulari, tablet e dispositivi di archiviazione elettronica. Oggi invece, un numero sempre crescente di dispositivi o prodotti industriali e commerciali, dai dispositivi per l’Internet delle cose (IoT) e la tecnologia operativa (OT), alle automobili e agli elettrodomestici, ai campanelli di casa e ai collari per cani, generano e archiviano dati e metadati che possono essere raccolti ed estratti. per ottenere prove digitali.
Prendiamo come esempio un incidente stradale. In passato, le forze dell'ordine esaminavano la scena del crimine alla ricerca di prove fisiche, come segni di sterzate o vetri infranti; potevano inoltre controllare i telefoni dei conducenti per verificare la presenza di messaggi di testo durante la guida.
Oggi, le automobili di nuova generazione creano e memorizzano una varietà enorme di dati digitali e metadati provvisti di marcature temporali, capaci di documentare nei minimi dettagli la posizione, la velocità e delle condizioni operative di ogni veicolo in un momento qualsiasi. Questi dati trasformano i veicoli moderni in un altro potente strumento forense, poiché consentono agli investigatori di ricostruire gli eventi prodromici dell'incidente, ciò che è accaduto durante e persino dopo. I dati possono anche aiutare a determinare chi ne è stato il responsabile, anche in assenza delle tradizionali prove fisiche o di testimoni oculari.
Proprio come le prove fisiche sulla scena di un crimine, anche le prove digitali devono essere raccolte e maneggiate con estrema cura. In caso contrario, i dati e i metadati potrebbero andare persi o essere ritenuti inammissibili in un contenzioso.
Ad esempio, gli investigatori e i pubblici ministeri sono tenuti a dimostrare che le prove digitali sono state sottoposte a una catena di custodia adeguata, e devono documentare il modo in cui sono state maneggiate, elaborate e archiviate. Inoltre, devono sapere come raccogliere e memorizzare i dati senza alterarli. Questa è una sfida di non poco conto, dato che azioni apparentemente innocue come l’apertura, la stampa o il salvataggio di file possono modificarne i metadati in modo permanente.
Per questo motivo, la maggior parte delle organizzazioni assume o incarica investigatori forensi (noti anche con le qualifiche professionali di esperto di informatica forense, analista di informatica forense o esaminatore di informatica forense) per raccogliere e maneggiare prove digitali associate a indagini criminali o cyber-criminali.
I professionisti dell'informatica forense hanno conseguito in genere una laurea in informatica o in diritto penale, e possiedono sia una solida conoscenza funzionale dei fondamenti della tecnologia dell'informazione (IT), ad esempio sistemi operativi, sicurezza delle informazioni, sicurezza della rete, linguaggi di programmazione, che una solida formazione sulle implicazioni legali delle prove digitali e della criminalità informatica. Alcuni possono specializzarsi in aree come l'analisi forense mobile o l'analisi forense dei sistemi operativi.
Gli investigatori forensi informatici sono esperti nella ricerca e nella conservazione di dati legalmente ammissibili. Essi sanno che devono raccogliere dati da fonti che lo staff IT interno di un'azienda potrebbe ignorare, come server remoti e computer domestici. Inoltre, possono aiutare le organizzazioni a sviluppare una solida policy di informatica forense che possa far risparmiare tempo e denaro nella raccolta di prove digitali, mitigare le conseguenze della criminalità informatica e contribuire a proteggere le reti e i sistemi informativi da attacchi futuri.
La disciplina dell'informatica forense consta di quattro passaggi principali.
Il primo passo consiste nell'identificare i dispositivi o i supporti di archiviazione che potrebbero contenere dati, metadati o altri artefatti digitali rilevanti per l'indagine. Questi dispositivi vengono raccolti e collocati in un laboratorio specializzato o in un'altra struttura approvata, in modo che sia seguito il protocollo corretto e i dati siano recuperati senza pregiudicarne il valore probatorio.
Gli esperti forensi creano un'immagine , ovvero una copia bit per bit, dei dati da conservare. Poi, archiviano in modo sicuro sia l'immagine che l'originale per proteggerli da alterazioni o distruzioni. Gli esperti raccolgono due tipi di dati: dati persistenti, archiviati sul disco rigido locale di un dispositivo, e dati volatili, che risiedono in memoria o in transito (ad esempio, registri, cache e memoria di accesso casuale (RAM)). I dati volatili devono essere gestiti con particolare attenzione, poiché sono effimeri per natura e possono andare perduti se il dispositivo si spegne o si scarica.
Successivamente, gli investigatori forensi analizzano l'immagine per identificare le prove digitali rilevanti. Queste possono includere file eliminati intenzionalmente o involontariamente, la cronologia di navigazione Internet, e-mail e altro ancora. Per scoprire dati o metadati "nascosti" che a un occhio meno attento potrebbero sfuggire, gli investigatori utilizzano tecniche specializzate tra cui l'analisi dal vivo, che valuta i sistemi ancora in esecuzione per rilevare dati volatili, e la steganografia inversa, che espone i dati nascosti utilizzando la steganografia, una tecnica per nascondere informazioni sensibili all'interno di messaggi dall'apparenza assolutamente ordinaria.
Come passaggio finale, gli esperti forensi creano un rapporto formale in cui delineano la loro analisi e condividono i risultati dell'indagine, corredati da eventuali conclusioni o raccomandazioni. Sebbene i rapporti varino a seconda dei casi, vengono spesso utilizzati per presentare prove digitali in sede di giudizio.
Esistono diverse aree in cui le organizzazioni o le forze dell'ordine possono avviare un'indagine informatica forense:
Indagini penali: le forze dell'ordine e gli specialisti possono utilizzare l'informatica forense per risolvere crimini perpetrati a mezzo computer, come il cyberbullismo, ls pirateria informatica o il furto di identità, nonché crimini nel mondo fisico, tra cui rapine, sequestri di persona e omicidi. Ad esempio, gli agenti delle forze dell'ordine possono utilizzare tecniche di informatica forense sul personal computer di un sospettato di omicidio per individuare potenziali indizi o prove nascosti nella cronologia delle ricerche o in file cancellati.
Contenzioso civile: gli investigatori possono anche utilizzare l'informatica forense in casi di contenzioso civile, come nelle controversie di lavoro o divorzi. Ad esempio, in una causa di divorzio, i legali di uno dei coniugi può utilizzare l'informatica forense su un dispositivo mobile per rivelare l'infedeltà dell'altro coniuge e ottenere una sentenza più favorevole.
Protezione della proprietà intellettuale: l'informatica forense può aiutare i funzionari delle forze dell'ordine a indagare sui furti di proprietà intellettuale, come i furti di segreti commerciali o di materiali protetti da copyright. Alcuni dei casi di informatica forense più noti hanno riguardato proprio la tutela della proprietà intellettuale, che spesso viene violata da dipendenti dimissionari che sottraggono informazioni riservate per poi rivenderle ad altre aziende, o che le usano per fondare aziende proprie. Analizzando le prove digitali, gli investigatori possono identificare chi ha rubato la proprietà intellettuale e denunciarlo alle autorità.
Sicurezza aziendale: le aziende spesso utilizzano l'informatica forense a seguito di un attacco informatico, come una violazione dei dati o un attacco ransomware, per determinare cosa è accaduto e correggere eventuali vulnerabilità di sicurezza. Un esempio tipico è quello degli hacker che si introducono in una vulnerabilità del firewall di un'azienda per rubare dati sensibili o essenziali. L’utilizzo dell’informatica forense per combattere gli attacchi informatici continuerà, poiché i crimini informatici continuano ad aumentare. Nel 2022, l’FBI ha stimato che i cybercrimini costano agli americani 10,3 miliardi di dollari in perdite annuali, rispetto ai 6,9 miliardi di dollari dell’anno precedente (PDF; collegamento esterno a ibm.com).
Sicurezza nazionale: l’informatica forense è diventata un importante strumento per la sicurezza nazionale, dato che i crimini informatici perpetrati dagli stati sono in continua crescita. I governi o le forze dell'ordine, come l'FBI, utilizzano oggi le tecniche di informatica forense per investigare i cyberattacchi, scoprire le prove e colmare le vulnerabilità della sicurezza.
Ancora una volta, l’informatica forense e la sicurezza informatica sono discipline strettamente correlate, e che spesso vengono impiegate assieme per proteggere le reti digitali dagli attacchi informatici. La cybersecurity ha un carattere sia proattivo che reattivo, e si concentra sulla prevenzione e sul rilevamento dei cyberattacchi, oltre che sulla risposta e sulla neutralizzazione degli stessi. L’informatica forense è quasi interamente reattiva, e entra in azione in caso di attacco informatico o crimine. Le indagini di informatica forense spesso forniscono informazioni preziose che i team di sicurezza possono utilizzare per prevenire futuri attacchi.
Quando l'informatica forense e la risposta agli incidenti, ovvero il rilevamento e la mitigazione degli attacchi informatici in corso, vengono condotte in modo indipendente, possono finire per interferire tra loro, con risultati negativi per l'organizzazione. I team di risposta agli incidenti possono alterare o distruggere le prove digitali durante la rimozione di una minaccia dalla rete. Gli investigatori forensi, invece, possono ritardare la risoluzione delle minacce per individuarne e raccoglierne le prove.
La disciplina dell'informatica forense digitale e della risposta agli incidenti, o DFIR (Digital forensics and incident response), combina le tecniche di informatica forense e di risposta agli incidenti in un flusso di lavoro integrato che può aiutare i team di sicurezza a bloccare più rapidamente le minacce informatiche, preservando al contempo le prove digitali che potrebbero andare perse nell'urgenza di mitigare tali minacce. Nel DFIR,
la raccolta forense dei dati avviene parallelamente alla mitigazione delle minacce. Gli specialisti utilizzano tecniche forensi informatiche per raccogliere e conservare i dati durante la fase di contenimento e di sradicamento della minaccia, e garantiscono allo stesso tempo che sia seguita la corretta catena di custodia e che prove preziose non vengano alterate o distrutte.
La disamina post-incidente include l'esame di prove digitali. Oltre a conservare le prove per eventuali azioni legali, i team DFIR le utilizzano per ricostruire gli incidenti di sicurezza informatica dall’inizio alla fine, per scoprire cosa è successo, come è successo, l’entità del danno e come sia possibile evitare attacchi simili.
Il DFIR può portare a una mitigazione delle minacce più rapida, a un recupero più efficace e a prove più attendibili per svolgere indagini su reati, crimini informatici, richieste di indennizzi assicurativi e altro ancora.
Supera in astuzia gli attori delle minacce con una suite di sicurezza connessa e modernizzata. Il portafoglio QRadar incorpora AI di grado aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione log, SIEM e SOAR, il tutto con un'interfaccia utente comune, conoscenze condivise e workflow connessi.
L'individuazione proattiva, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che un reparto IT già molto impegnato deve affrontare. Disporre di un team di risposta agli incidenti affidabile e pronto a intervenire può ridurre i tempi di risposta, minimizzare l'impatto di un attacco informatico e aiutarti a recuperare con maggior rapidità.
Per prevenire e combattere le moderne minacce ransomware, IBM utilizza insight provenienti da 800 TB di dati su minacce e attività, informazioni su oltre 17 milioni di attacchi spam e phishing e dati di reputazione su quasi 1 milioni di indirizzi IP dannosi provenienti da una rete di 270 milioni di endpoint.
Il DFIR combina due campi distinti della sicurezza informatica per semplificare la risposta alle minacce e preservare le prove contro i criminali informatici.
Gli attacchi informatici sono tentativi indesiderati di rubare, esporre, alterare, disabilitare o distruggere informazioni tramite l'accesso non autorizzato ai sistemi informatici.
La gestione delle informazioni e degli eventi di sicurezza (SIEM) offre il monitoraggio e l'analisi in tempo reale degli eventi, nonché tracciamento e registrazione dei dati di sicurezza a fini di conformità o controllo.