Il processo di indagine in ambito di Forensic IT prevede le seguenti fasi principali (non necessariamente nell’ordine cronologico descritto).
Fase Iniziativa (prerequisito)
Il Consulente IT Forense incontra il Cliente per la definizione dell’ingaggio. Ulteriori riunioni o conferenze telefoniche potranno essere concordate per discutere, approfondire e meglio circostanziare il Quesito oggetto della Perizia.
A volte il Quesito potrà essere trascritto dalla descrizione verbale registrata durante il primo incontro.
La trascrizione dovrà essere approvata dal Cliente prima che l’ingaggio sia confermato e formalizzato.
Predisposizione sistemi di tracciamento attività (dove possibile)
E’ un aspetto importante e talvolta decisivo nel processo di esame. Nelle Perizie di Forensic IT può risultare decisiva la prontezza dell’intervento.
Con il tempestivo ingaggio del Consulente Tecnico, preziose tracce delle attività illecite possono essere rilevate in anticipo. I dati esaminati saranno più completi se sul server o computer oggetto dell’analisi sono stati attivati i sistemi di auditing/monitoraggio e di registrazione delle attività utente.
Tale reattività da parte del Consulente IT Forense richiede una formazione adeguata, test regolari e aggiornamento costante dei propri strumenti hardware e software e familiarità con la normativa.Quest’ultima costituisce il riferimento procedurale in caso di risvolti imprevisti. Ad esempio: il riscontro di materiale pedo-pornografico durante un’indagine in ambito commerciale.
Acquisizione diretta
Il Consulente IT Forense ottiene una copia immagine dei supporti di memoria da analizzare acquisendola dal PC spento dell’indagato. Un dispositivo di blocco scrittura viene utilizzato per evitare qualsiasi tipo di modifica delle informazioni contenute sul disco sorgente (originale).
La fase di analisi viene poi eseguita sulla copia così ottenuta.
A volte però non è opportuno spegnere e/o riaccendere il computer in analisi per evitare possibili perdite di informazione.In questo caso l’esaminatore deve effettuare un’acquisizione “live” che comporta l’esecuzione di un programma sul computer sospetto per copiare i dati su un supporto esterno di proprietà del Consulente.
Tali azioni rimangono ammissibili poichè l’esaminatore ne terrà traccia sul diario che poi allegherà alla Perizia finale. Questo afinchè un eventuale verifica della controparte possa confermarne la correttezza formale.
Raccolta reperti e informazioni
Se l’acquisizione deve essere effettuata in loco, piuttosto che in un laboratorio forense, allora questa fase comprende l’individuazione e la documentazione della scena del crimine.
Colloqui o incontri con il personale presente sulla scena (utilizzatori finali del computer, direttore responsabile della fornitura dei servizi informatici …) potrebbero rivelare informazioni pertinenti all’analisi.
La fase di raccolta comporta anche l’etichettatura e insaccamento di elementi probatori dal sito. Questi devono essere sigillati in sacchetti antimanomissione numerati. Occorre prendere in considerazione il trasporto sicuro del materiale al laboratorio dell’esaminatore.
Analisi
L’analisi dipende dalle specificità di ogni lavoro. L’esaminatore di solito fornisce un feedback al cliente durante l’analisi e da questo dialogo può derivare un cambio del Quesito iniziale. L’analisi deve essere accurata, completa, imparziale, tracciata, ripetibile e, soprattutto, completata entro i termini concordati col Cliente.
Presentazione
In questa fase l’esaminatore produce la relazione scritta, rispondendo ai punti descritti nel Quesito iniziale dal Cliente, fornendo qualsiasi altra informazione che l’esaminatore ritenga utile per l’inchiesta.
La relazione deve essere scritta tenendo presente che, in molti casi, il lettore non sarà un tecnico e per questo dovrà essere utilizzata una terminologia appropriata a tale profilo.
Lesson learned
Insieme con la fase di preparazione, la fase di revisione è spesso trascurata.
Tuttavia una fase di revisione della Perizia può aiutare a risparmiare denaro ed aumentare il livello di qualità, rendendo futuri esami più efficienti ed efficaci.
Una revisione di un esame può essere semplice, veloce e può iniziare in una qualsiasi delle fasi di cui sopra. Fare tesoro degli aspetti che possono essere migliorati è garanzia di focus sul livello di soddisfazione del Cliente.
Tutte le lezioni apprese da questa fase devono essere applicate per l’esame successivo.