Nel corso dei precedenti articoli abbiamo visto come l’agenzia investigativa possa fornire supporto ad un’azienda che si trovi nella condizione di licenziare un dipendente, nel corso di questo articolo e del successivo, invece, vedremo insieme cos’è una perizia informatica!
Scrivere un rapporto dettagliato ed esaustivo sulle indagini può essere determinante per l’istruzione di un processo. Il rapporto deve essere sufficientemente dettagliato da reggere alle obiezioni della difesa o al timore che siano stati trascurati o non analizzati con cura dei file importanti.
Il rapporto deve inoltre essere chiaro: anche una persona priva di conoscenze tecniche deve essere in grado di comprendere i concetti importanti e il valore delle prove presentate.
In questo articolo vedremo come documentare correttamente l’indagine informatica e darne rendiconto.
Cos’è una perizia informatica
La finalità del rapporto di un investigatore di Computer Forensics è specificare quanto ha scoperto, non fornire un’opinione o convincere una giuria della colpevolezza di un sospettato.
Il rapporto è una enunciazione di fatti, sarà il tribunale poi a dover decidere in merito alla colpevolezza o meno dell’accusato. Un investigatore non deve solo presentare quanto ha scoperto ma indicare con tutti i dettagli i processi dell’indagine, che devono includere sempre anche gli eventuali errori commessi o i casi in cui un esame è fallito.
Durante l’indagine, infatti, un investigatore deve usare più strumenti. Questi strumenti devono essere stati sottoposti a test di calibrazione da parte di tecnici di laboratorio e l’investigatore deve sapere tutto ciò che hanno scoperto, compresi i tassi di errore noti. A questo proposito l’investigatore deve annotare le limitazioni dell’esame, per esempio le aree dei supporti di memoria che sono risultate illeggibili, che possono essere settori negativi su un disco rigido, blocchi non accessibili, file che non è stato possibile aprire, o altri dati non accessibili. Essere proattivi può evitare possibili domande imbarazzanti future!
Ovviamente, date e ore sono di estrema importanza. L’investigatore deve sempre annotare l’ora corrente e la fonte da cui è stata ricavata (per esempio, iPhone11, servizio cellulare, ora impostata automaticamente in base alla localizzazione). Devono essere annotate le ore di sistema per tutti i dispositivi esaminati, e confrontate anche con l’ora dell’investigatore.
Ogni dettaglio nel rapporto deve essere preciso dal punto di vista tecnico, ma il rapporto deve essere anche comprensibile, così che anche le persone con limitate conoscenze tecniche possano capire che cosa ha fatto l’investigatore e cosa è stato scoperto. Gli informatici parlano un linguaggio diverso con i loro colleghi, esattamente come accade anche per altre categorie professionali.
Il rapporto quindi non deve contenere acronimi, a meno che non vengano spiegati in precedenza ne rapporto stesso, e non si devono usare abbreviazioni o termini tecnici senza darne una spiegazione. Per esempio, anziché dire “abbiamo fatto un hash del disco”, si può scrivere “abbiamo usato un algoritmo MD5 per creare un codice alfanumerico, cioè un hash, che identifica in modo univoco il disco di quel computer. Creare un hash MD5 è un’operazione standard per gli investigatori di Computer Forensics, per essere sicuri che la copia su cui lavorano non sia stata modificata rispetto al supporto originale sequestrato dal computer del sospettato”.
Si può anche includere una sezione distinta per le definizioni tecniche. Se è stata condotta un’indagine prudente e attenta e pubblicate i fatti relativi al caso, non ci dovrebbe essere nulla di cui preoccuparsi.
Occorre ricordare che l’investigatore ha il dover di essere imparziale, corretto nei confronti dell’accusa come della difesa.
Perizia informatica: come redigere un rapporto
Non deve esistere alcuna ambiguità in quanto viene affermato nel rapporto. Sarebbe consigliabile a tal fine chiedere a qualcun altro di rileggere il rapporto per verificare l’accuratezza e possibili incoerenze, per identificare punti confusi e stabilire se una persona che non abbia formazione tecnica possa comprenderlo. Alla fine, in teoria, il rapporto dovrebbe essere abbastanza dettagliato perché qualcuno, sulla sua scorta, possa ricreare la medesima analisi e recuperare gli stessi risultati.
Vale la pena soffermarci sull’uso delle rappresentazioni grafiche. Una rappresentazione grafica spesso è molto più efficace della parola scritta: quello che si dice spesso, che un’immagine vale più di mille parole, in fondo è vero. Per esempio, un foglio di calcolo con i tabulati delle chiamate è molto meno efficace di un grafico che mostri un’immagine del sospettato e le linee di collegamento verso i contatti con cui ha comunicato più spesso, fra cui potrebbero esserci eventuali complici o la vittima. Anche una cronologia grafica degli eventi è più efficace di un semplice elenco.
Analogamente, il grafico degli amici nella rete di social network Facebook è più comprensibile di un elenco di nomi. Inoltre, con l’uso di mappe è possibile ricavare dai metadati di un file i movimenti di una persona, compresa la sua presenza in un determinato luogo. Molti strumenti di analisi dei ripetitori cellulari offrono questo tipo di funzionalità di mappatura per l’attività dei telefoni cellulari.
Per quanto riguarda la strutturazione del rapporto, i rapporti investigativi possono essere diversi l’uno dall’altro, tuttavia un buon modo di strutturarli, a parere di chi scrive, è il seguente:
- Copertina;
- Indice;
- Executive Summary;
- Biografia;
- Obiettivi dell’indagine;
- Metodologia utilizzata;
- Supporti elettronici esaminati;
- Risultati dell’esame;
- Dettagli dell’indagine collegati al caso;
- Allegati/Appendici;
- Conclusioni.
Nel prossimo articolo esamineremo ciascuna sezione singolarmente e i contenuti più appropriati da un punto di vista di forma e di sostanza.
Se questo articolo sulla perizia informatica ti è piaciuto non dimenticarti di seguire anche i nostri profili Facebook, Youtube e Linkedin!
Se invece sei interessato a ricevere maggiori informazioni sui corsi di Forensics Academy scrivici a info@forensicsteam.it!
Se vuoi saperne di più sulla perizia informatica o se sei interessato a questo tipo di servizio puoi contattare l’investigatore privato del nostro team, Valentina Grazzi.
Visita il sito di Aenigma Studio Tecnico Investigativo per saperne di più!
Articolo di Samuela Bolgan