Analisi forensica di dati digitali

<title>Computer forensics: perizie</title>

<h1>Analisi forensica di dati digitali</h1>


L'analisi forensica &egrave; l'attivit&agrave; di esame di hard disk (o altri media digitali) alla ricerca di tracce di informazioni nascoste, di alterazioni o di cancellazioni.<br>
Scopo dell'analisi compiuta da un perito di computer forensics pu&ograve; essere l'acquisizione di prove collegate a un crimine, a un contenzioso civile o a una necessit&agrave; informativa.<br>
Questo tipo di attivit&agrave; si svolge sia a basso livello, con ricerca manuale delle informazioni del file system, sia con l'uso di software standard di recupero dati.<br>
La variet&agrave; dei casi in cui l'analisi forensica pu&ograve; fornire un aiuto, o una prova determinante, &egrave; molto vasta. Pu&ograve; riguardare indagini di computer forensics relative a reati informatici od ogni altro caso in cui prove utili (documenti, email, navigazione web) possono essere rintracciate nella memoria di massa di un computer.

<h2>Qualche esempio</h2>
<ul>
<li>
Un creativo di un'azienda produttrice di oggetti promozionali, dopo essersi licenziato, vende a un'azienda concorrente il design di un oggetto, che viene messo in produzione.<br>
La prima azienda, dopo avere trovato in uno dei suoi computer il progetto del prodotto, sottopone l'hard disk a un esame forensico per dimostrare che il relativo progetto era stato salvato in azienda quando l'ideatore era suo dipendente.<br>
<li>
In un  caso di contenzioso civile il soggetto che cercava una prova era un ex-dipendente. Nel corso di una lite il contratto che lo legava a un'azienda era un'email rimasta in un computer aziendale. Compito della perizia forensica era il rinvenimento del documento, oppure di tracce della sua cancellazione.
<li>
Nel corso di un'indagine su una rete di pedofili la Polizia Postale intercetta un file, diffuso tramite file sharing peer-to-peer, nel quale appare una modella minorenne. Spetter&agrave; al perito di computer forensic dimostrare, sulla base dei referti documentati, che il file incriminato era stato diffuso dall'indagato solo parzialmente, e che comunque era stato prontamente cancellato.
<li>
Un utente è accusato di avere diffuso tramite file sharing un file pedo-pornografico:<a href="relaz1.htm"> la mia relazione di difesa. </a>
</ul>


<h2>Catena di custodia e mirroring</h2>
Uno dei requisiti dell'indagine nel computer forensics, quando essa deva avere un valore riconosciuto da pi&ugrave; parti, &egrave; la garanzia di basarsi su un documento originale intatto.<br>
A questo fine un concetto importante &egrave; la "catena di custodia", cio&egrave; la certificazione del passaggio di mano dell'oggetto (l'hard disk), per assicurare che esso non sia stato manomesso.<br>
Un altro concetto cardine &egrave; costituito dal "mirroring", cio&egrave; la copiatura perfetta delle informazioni digitali contenute in un hard disk su un altro hard disk. Questa operazione di copiatura "fisica" (anzich&eacute; "logica") permette di lavorare sui documenti digitali senza rischiare di intaccare l'originale, inoltre permette a pi&ugrave; parti di lavorare su documenti identici e di verificare i risultati dichiarati da altri.<br>
La Data Recovery Service, Inc. utilizza per il mirroring un software creato (da Uwe Gisseman e D. Knoblauch) su specifiche fornite dall'azienda stessa. Esso lavora sull'unit&agrave; minima leggibile di un hard disk, il settore (corrispondente normalmente a 512 bytes di 8 bit), ed &egrave; in grado di portare a termine la copiatura fisica di un hard disk anche se si presentano settori danneggiati.

<h2>Hard disk danneggiato</h2>
Una delle complicazioni dell'analisi di computeforensics pu&ograve; essere costituita da un hard disk danneggiato.<br>
In questi casi la lettura del disco &egrave; incompleta, o bloccata, o peggio ancora impossibile. Inoltre non &egrave; possibile la produzione di una prova perfettamente controllabile e ripetibile.<br>
Per trarre il massimo dal reperto &egrave; allora necessario avvalersi degli strumenti di recupero dati, sui quali ho una vasta esperienza, maturata come rappresentante in Italia dal 2004 di <a href="http://recuperohd.com/">	
Data Recovery Service</a>. 

<h2>Che cosa offriamo</h2>
L'analisi forensica costituisce una specializzazione relativamente nuova non solo in Italia ma in tutto il mondo.<br>
Offro questo servizio in quanto iscritto all'albo dei consulenti tecnici del Tribunale di Milano e in quanto rappresentante in Italia di <a href="http://www.datadetectives.us/">Data Detectives </a> (divisione di Data Recovery Service, Inc., New York).
<p>
<hr>
<br>

<table align=center width=70%>
<tr><td><font face="arial","helvetica","verdana">
<h2>Micael Zeller Celso</h2>
<small><i>
Iscritto all'albo dei consulenti tecnici del Tribunale di Milano per la specialit&agrave; "Analisi e recupero dei dati da hard disk o altri media digitali".<BR>
(C.T.U. n&#176 11224 - P. IVA 04187390960)
</small></i>
<p>
Via Giambellino, 10<br>
20146  Milano<br>
<p>
tel: 02 422 966 83<br>
fax: 02 700 35 967<br>
<br>
<img src="forensicoatmicael.gif" width=194 height=24>
<br clear=all>
<br>
Indirizzo di e-mail certificato (raggiungibile solo tramite e-mail certificata):<br>
<img src="pec.gif" width=265 height=24>

</table>