Quattro principi fondamentali

Quando un dispositivo diventa una prova ci sono specifiche tecniche per prendere i dati senza comprometterli.

Avatar di Tom's Hardware

a cura di Tom's Hardware

I concetti di base della digital forensics sono riassunti nei quattro principi emanati dall’ACPO (The Association of Chief Police Officers of England, Wales and Northern Ireland):

Principio 1: Nessuna azione intrapresa dalle forze dell'ordine o ai loro agenti dovrebbe alterare i dati memorizzati su un computer o un supporto di memorizzazione che può successivamente essere utilizzato in tribunale.

Principio 2: In circostanze eccezionali, in cui una persona si trova nella necessità di accedere ai dati originali conservati su un computer o su supporti di memorizzazione, la persona deve essere competente a farlo ed essere in grado di spiegare la rilevanza e le implicazioni delle sue azioni.

Principio 3: La metodologia o altro atto di tutti i processi applicati (audit trail) a prove elettroniche  dovrebbero essere creati e conservati. Un terzo indipendente deve essere in grado di esaminare i processi e ottenere lo stesso risultato.

Principio 4: Il responsabile delle indagini (il funzionario in carica) ha la responsabilità generale di assicurare che la legge e tali principi siano rispettati.

Queste regole di massima servono a garantire che la copia digitale sia il più fedele possibile all’originale, ma soprattutto a garantire la ripetibilità delle risultanze ottenute dai processi d’acquisizione e d’analisi, oppure a spiegare scientificamente perché si è optato per delle metodologie invasive o alteranti.

La guida ACPO inoltre ha riconosciuto che:

  • Non tutto può rientrare nei 4 principi su elencati.
  • Una prova raccolta senza seguire la guida può essere considerato una prova comunque valida.

In effetti il Principio 1 della guida ACPO non può essere rispettato quando si tratta di smartphone forensics, perché la memoria è in continuo cambiamento anche automaticamente senza interferenze da parte dell'utente.

Inoltre il metodo d’acquisizione della memoria dovrebbe essere il meno possibile invasivo ed alterante e aderire al secondo e terzo principio, che si concentrano più sulla competenza dello specialista e la generazione di un audit trail dettagliato.

Secondo il Principio 2, lo specialista deve essere qualificato abbastanza per capire la struttura interna di hardware e software del dispositivo di cui si occupa e di essere abile con gli strumenti utilizzati.

Nel mondo del “mobile”, si deve partire da un concetto di “irripetibilità” o meglio di fonti digitali soggette a mutazioni  (calo della carica della batteria, orologio, accensioni cogenti al fine dell’acquisizione, ecc.) sia per proprietà intrinseche del dispositivo sia per cause dovute alla procedura d’acquisizione dei dati.

Innanzi tutto vediamo come è strutturato un telefono cellulare, da un punto di vista logico interessante per la mobile forensics.