Copia Forense

In informatica forense, la copia forense – chiamata anche “copia conforme”, “copia bitstream”, “copia bit a bit”, “immagine forense” – è il risultato dell’acquisizione di una evidenza digitale che ha “duplicato” il contenuto della prova generandone sostanzialmente un “clone” identico all’originale destinato a diventare una prova in ambito giudiziario, ad esempio in processi civili o penali.

La copia o acquisizione forense non è limitata a supporti di archiviazione di dati (hard disk HDD o SSD, pendrive, memorie flash, CDROM, DVDROM, Blu Ray, etc…) ma comincia a riguardare anche ambiti quali il cloud (Dropbox, iCloud, Google Drive, etc…) o il web (posta elettronica, webmail, acquisizione certificata di pagine o siti web, documenti memorizzati online). Tutti questi possibili elementi probatori di cui si può avere interesse ad avere una “cristallizzazione” a fini legali, per utilizzo in Tribunale o nelle sedi Giudiziarie più opportune.

Il concetto di copia forense è più complesso della semplice copia di un file o di un hard disk o il download di una pagina web, perché implica diversi requisiti.

  1. La copia forense deve avere impatto minimo, se non nullo, sulla fonte originale dei dati, così come tra l’altro indicato dalla Legge 48 del 2008 che prescrive che le attività di acquisizione forense dei dati devono essere svolte “adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione
  2. La copia conforme deve essere identica all’originale, identità se possibile dimostrabile tramite metodologie scientifiche, come prescrive la Legge 48 del 2008 che precisa come le copie forensi devono essere eseguite “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità.
  3. La copia bit-stream o immagine forense deve essere “statica”, cioè una volta generata deve essere immodificabile ovvero qualunque modifica deve poter essere rilevata e identificata, proprietà questa ribadita dalla Legge 48 del 2008 e realizzata in genere tramite il calcolo di funzioni matematiche chiamate “hash” sul dato originale e sul dato acquisito, con verbalizzazione delle attività e confronto dei valori hash calcolati sui due supporti.
  4. La copia forense deve essere il più completa possibile e riprodurre il dato originale acquisendone non soltanto i contenuti ma anche eventuali metadati o informazioni di contorno, come possono essere i dati del filesystem (nome file, attributi, data di creazione, modifica e accesso ai file) o le aree non allocate del sistema (dalle quali è poi possibile recuperare file cancellati ma non ancora sovrascritti).
  5. La copia bitstream prodotta tramite acquisizione forense deve essere verbalizzata in modo da poter reggere eventuali opposizioni su metodi, strumenti o tecniche utilizzate, riportando dati relativi alla catena di conservazione dei reperti e ai vari calcoli di valori hash che garantiscono l’integrità dei dati nei vari passaggi.

Gli strumenti per eseguire copie forensi sono molteplici e vanno dai copiatori forensi (es. Tableau TD3, Wiebetech Ditto o Logicube Falcon) ai software per acquisizione certificata di posta elettronica o cloud (F-Response, Aid4Mail, Oxygen Forensics, MetaSpike) e persino di siti web o profili di Social Network come Facebook, Twitter, Instagram, Linkedin che possono essere acquisiti tramite tool innovativi come X2 Social Discovery.

Non è necessario utilizzare strumenti commerciali per generare immagini forensi, esistono soluzioni gratuite e open source per acquisire in maniera forense hard disk, pendrive, dischi ottici ma anche risorse web come siti o posta elettronica. Si pensi ad esempio a suite come DEFT Linux, CAINE, Paladin, Raptor o anche Kali Linux e Parrot Security che hanno incrementato la quantità di tool per la digital forensics. Oppure su Windows a prodotti gratuiti come FTK Imager della AccessData o su Mac OS e Linux a comandi come dd, dcfldd, dc3dd o ewfacquire.

I formati delle copie forensi sono ormai standardizzati e vanno dal RAW alle codifiche AFF, EWF o la proprietaria AD1 della Accessdata utilizzata da FTK Imager per creare forensic containers (cioè acquisizioni forensi di cartelle o file singoli, inclusi metadati del filesystem e slack space). La maggior parte dei software di analisi forense sono in grado di aprire tutti i formati, anche quando utilizzati in modalità “split” (cioè suddividendo la copia forense in numerosi file di dimensioni ridotte).


Contatta lo Studio d'Informatica ForenseContattateci per Informazioni o un Preventivo
Per maggiori informazioni non esitate a contattare lo Studio d'Informatica Forense tramite la Pagina Contatti.