L’informatica forense, talvolta chiamata computer forensics, è l’applicazione di tecniche investigative scientifiche ai crimini e agli attacchi digitali. È un aspetto cruciale a livello legislativo e di business nell’era di Internet e può essere un percorso di carriera gratificante e redditizio.

Jason Jordaan, principale scienziato forense presso DFIRLABS, definisce l’informatica forense come “l’identificazione, la conservazione, l’esame e l’analisi delle prove digitali utilizzando processi scientificamente accettati e convalidati, nonché la presentazione finale di tali prove in un tribunale.”

Questa è una definizione abbastanza valida, anche se c’è una precisazione da fare. Il termine infatti viene talvolta usato per descrivere qualsiasi tipo di indagine sugli attacchi informatici, anche se le forze dell’ordine o il sistema giudiziario non sono coinvolti. E gli esperti di informatica forense lavorano sia nel settore pubblico, sia in quello privato. Il Champlain College, che ha un proprio programma forense digitale, offre una descrizione più generale: “I professionisti dell’informatica forense sono chiamati all’azione una volta che si verifica una violazione e lavorano per identificare l’hacking, capire la fonte e recuperare i dati compromessi.”

Storia dell’informatica forense

Le forze dell’ordine sono state un po’ lente nel comprendere la necessità di applicare le tecniche forensi ai computer e alle apparecchiature ad alta tecnologia. Nella maggior parte dei casi negli anni ’70 e ’80 i primi pionieri della digital forensics erano persone che lavoravano nella polizia o nelle forze dell’ordine federali e che, al tempo stesso, erano appassionati di computer.

Una delle prime aree che ha destato l’attenzione delle forze dell’ordine è stata l’archiviazione dei dati, poiché gli investigatori hanno lavorato a lungo per sequestrare, conservare e analizzare la documentazione dei sospetti. Nel 1984 l’FBI lanciò il programma Magnet Media per concentrarsi su questi record digitali, lanciando così il primo programma ufficiale di informatica forense presso una forza di polizia.

Nel frattempo, molte delle tecniche utilizzate per rintracciare e identificare gli hacker mentre si intromettevano nei sistemi informatici sono state sviluppate ad hoc nel settore privato. Un momento cruciale arrivò nel 1986, quando Cliff Stoll, un sysadmin di Unix presso il Lawrence Berkeley National Laboratory, cercò di capire una discrepanza di 0,75 dollari in un registro contabile e finì per scoprire un hacker tedesco che stava entrando in sistemi sensibili e vendendo dati al KGB. Con il passare del tempo inoltre Stoll ha creato quella che probabilmente è stata la prima trappola honeypot.

Gran parte della specializzazione e della professionalizzazione dell’informatica forense negli anni ’90 e ’00 è nata in reazione a due spiacevoli realtà. Da un lato la diffusione della pornografia infantile online, che ha portato al sequestro di enormi volumi di prove digitali; dall’altro le guerre in Afghanistan e in Iraq, in cui spesso le truppe statunitensi hanno finito per mettere le mani sui laptop e i telefoni dei nemici da cui hanno dovuto estrarre informazioni utili. Un punto di riferimento importante è arrivato nel 2006, quando le regole statunitensi per la procedura civile sono state revisionate per implementare un regime obbligatorio legato proprio alle prove forensi di stampo digitale.

consulenza-informatica-forense-bit4law

Come viene utilizzata l’informatica forense nelle indagini?

Ci sono diversi modelli di processo che definiscono come gli esaminatori forensi dovrebbero procedere nella loro ricerca per raccogliere e comprendere le prove. Mentre questi modelli possono variare, la maggior parte dei processi segue quattro passaggi fondamentali:

  1. Collezione, in cui vengono acquisite prove digitali. Ciò comporta spesso il sequestro e la confisca di risorse fisiche come computer, smartphone o hard disk; occorre prestare attenzione per garantire che nessun dato sia danneggiato o perso. I supporti di memorizzazione possono essere copiati in questa fase al fine di mantenere l’originale in uno stato originario come riferimento.
  2. Esame, in cui vengono utilizzati vari metodi per identificare ed estrarre i dati. Questo passaggio può essere suddiviso in preparazione, estrazione e identificazione. Decisioni importanti da prendere in questa fase sono se trattare con un sistema che è vivo (ad esempio, per accendere un laptop confiscato) o morto (ad esempio, collegando un disco rigido sequestrato a un computer in laboratorio). Identificazione significa determinare se singoli pezzi di dati sono rilevanti per il caso in questione; quando sono coinvolti dei mandati, le informazioni a cui gli esaminatori sono in grado di accedere possono essere limitate.
  3. Analisi, in cui i dati raccolti sono utilizzati per dimostrare (o smentire) il caso che è stato costruito dagli esaminatori. Per ciascun elemento di dati pertinenti, gli esaminatori rispondono alle domande di base su di esso (chi lo ha creato? chi l’ha modificato? come è stato creato? quando è successo tutto questo?) e tentano di determinare in che modo l’elemento si riferisca al caso.
  4. Reporting, in cui i dati e le analisi sono sintetizzati in un formato che può essere compreso anche da persone non specializzate. Essere in grado di creare tali rapporti è un’abilità assolutamente cruciale per chiunque sia interessato all’informatica forense.

Strumenti forensi digitali

Qualsiasi professionista di informatica forense ha una vasta gamma di strumenti nel proprio kit di lavoro. A un’estremità dello spettro sono disponibili strumenti open source monouso come lo sniffer di pacchetti Wireshark o HashKeeper, un programma gratuito che può velocizzare l’esame dei file di un database. Dall’altro lato ci sono potenti piattaforme software commerciali con funzioni multiple e funzionalità di reporting come Encase o CAINE, un’intera distribuzione Linux dedicata al lavoro forense.

L’Istituto Infosec suddivide questi strumenti nella serie di categorie sottostante:

  • Strumenti per l’acquisizione di dati e dischi
  • Visualizzatori di file
  • Strumenti di analisi dei file
  • Strumenti di analisi del registro
  • Strumenti di analisi di Internet
  • Strumenti di analisi e-mail
  • Strumenti di analisi dei dispositivi mobili
  • Strumenti forensi di rete
  • Strumenti forensi di database

Infosec fornisce anche una lista di strumenti forensi di uso comune che viene aggiornata regolarmente.

Tradizionalmente i professionisti di informatica forense provenivano da un background informatico più generale e tradizionale e spesso erano esperti amministratori di sistema che già si sentivano a proprio agio con molti degli strumenti di base utilizzati in questa disciplina. Tuttavia, in linea con la crescente specializzazione del settore, alcune scuole offrono percorsi specifici per l’informatica forense: due in ambito convenzionale all’interno del campus e tre online.

  • La Purdue University ha un Cybersecurity and Forensics Lab e offre un master con specializzazione in cyber forensics
  • La School of Business and Justice Studies presso l’Utica College offre una laurea in cybersicurezza e assicurazione delle informazioni, con indagini sul crimine informatico e analisi forense come una delle possibili specializzazioni
  • Il Champlain College offre una laurea breve in informatica forense
  • Il John Jay College of Criminal Justice della City University di New York e l’Università del Maryland offrono un master online in informatica forense e cybersecurity

Lavori nell’informatica forense

I lavori in questo ambito tendono a creare ruoli come “investigatore”, “tecnico” o “analista”, a seconda del livello di anzianità e specializzazione. La maggior parte dei posti di lavoro nell’informatica forense è nel settore pubblico (forze dell’ordine) o nei laboratori criminali.

Tuttavia, con i laboratori pubblici per la criminalità informatica spesso oberati dal lavoro e meno agili di quanto potrebbero essere a causa della burocrazia, le grandi aziende stanno iniziando a gestire i propri laboratori in autonomia, creando un altro percorso redditizio per i professionisti dell’informatica forense. A partire dal 2017 c’erano sei laboratori di informatica forense accreditati dall’American Society of Crime Laboratory Director presso società private tra cui Target, Walmart e American Express.

Che tipo di stipendio può aspettarsi un professionista che lavora in questo campo? Secondo PayScale, l’analista forense medio guadagna circa 70.000 dollari all’anno, anche se la forbice è piuttosto ampia e si può così andare da circa 45.000 a 115.000 dollari.

Fare carriera con l’informatica forense

Detto tutto ciò, potreste decidere l’informatica forense è un percorso lavorativo adatto a voi ed è certamente qualcosa di affascinante. Come ogni percorso di carriera nelle forze dell’ordine può però mettervi in contatto con alcuni dei peggiori esemplari del genere umano.

Ricordate che abbiamo detto che gran parte dell’informatica forense è diventata un’attività professionale grazie alla caccia ai pedofili e dei terroristi? Ebbene, ciò può rendere il lavoro degli investigatori forense molto difficile e duro da sopportare, dato che devono esaminare e osservare gran parte del materiale che trovano. È un pensiero che forse vi toglierà gran parte dell’entusiasmo iniziale, ma è anche un pensiero su cui è necessario riflettere se si considera una carriera in questo ambito.