campo della computer forensics indagine è in crescita, soprattutto come l’applicazione della legge e giuridiche rendersi conto di quanto sia preziosa la tecnologia dell’informazione (IT) professionisti quando si tratta di procedure d’indagine. Con l’avvento del crimine informatico, il monitoraggio delle attività online dannose è diventato cruciale per proteggere i cittadini privati, oltre a preservare le operazioni online in sicurezza pubblica, sicurezza nazionale, governo e forze dell’ordine. Il monitoraggio dell’attività digitale consente agli investigatori di collegare le comunicazioni informatiche e le informazioni archiviate digitalmente a prove fisiche di attività criminali; la computer forensics consente inoltre agli investigatori di scoprire intenti criminali premeditati e può aiutare nella prevenzione di futuri crimini informatici. Per coloro che lavorano nel campo, ci sono cinque passaggi critici in computer forensics, che contribuiscono a un’indagine approfondita e rivelatrice.
Sviluppo di politiche e procedure
Che si tratti di attività informatiche dannose, cospirazione criminale o l’intento di commettere un crimine, le prove digitali possono essere delicate e altamente sensibili. I professionisti della sicurezza informatica comprendono il valore di queste informazioni e rispettano il fatto che possono essere facilmente compromesse se non gestite e protette correttamente. Per questo motivo, è fondamentale stabilire e seguire linee guida e procedure rigorose per le attività relative alle indagini forensi informatiche. Tali procedure possono includere istruzioni dettagliate su quando gli investigatori di computer forensics sono autorizzati a recuperare potenziali prove digitali, come preparare correttamente i sistemi per il recupero delle prove, dove archiviare eventuali prove recuperate e come documentare queste attività per garantire l’autenticità dei dati.
Le forze dell’ordine stanno diventando sempre più dipendenti dai dipartimenti IT designati, che sono gestiti da esperti esperti di sicurezza informatica che determinano protocolli investigativi adeguati e sviluppano programmi di formazione rigorosi per garantire che le migliori pratiche siano seguite in modo responsabile. Oltre a stabilire procedure rigorose per i processi forensi, le divisioni di sicurezza informatica devono anche stabilire regole di governance per tutte le altre attività digitali all’interno di un’organizzazione. Questo è essenziale per proteggere l’infrastruttura dei dati delle forze dell’ordine e di altre organizzazioni.
Una parte integrante delle politiche investigative e delle procedure per le organizzazioni di applicazione della legge che utilizzano i dipartimenti di computer forensic è la codificazione di un insieme di azioni esplicitamente dichiarate riguardanti ciò che costituisce prova, dove cercare tali prove e come gestirle una volta recuperate. Prima di qualsiasi indagine digitale, è necessario adottare misure adeguate per determinare i dettagli del caso in questione, nonché per comprendere tutte le azioni investigative consentite in relazione al caso; ciò comporta la lettura di riassunti del caso, la comprensione dei mandati e delle autorizzazioni e l’ottenimento di tutte le autorizzazioni necessarie prima di perseguire il caso.
Valutazione delle prove
Una componente chiave del processo investigativo comporta la valutazione di potenziali prove in un crimine informatico. Fondamentale per l’efficace trattamento delle prove è una chiara comprensione dei dettagli del caso in questione e, quindi, la classificazione del crimine informatico in questione. Per esempio, se un’agenzia cerca di dimostrare che un individuo ha commesso reati legati al furto di identità, computer forensics investigatori utilizzano metodi sofisticati per vagliare attraverso hard disk, account di posta elettronica, siti di social networking, e altri archivi digitali per recuperare e valutare tutte le informazioni che possono servire come prova valida del crimine. Questo è, naturalmente, vero per altri crimini, come impegnarsi in comportamenti criminali online come la pubblicazione di prodotti falsi su eBay o Craigslist destinati ad attirare le vittime a condividere le informazioni della carta di credito. Prima di condurre un’indagine, lo sperimentatore deve definire i tipi di prove richieste (comprese piattaforme specifiche e formati di dati) e avere una chiara comprensione di come conservare i dati pertinenti. Lo sperimentatore deve quindi determinare la fonte e l’integrità di tali dati prima di inserirli nelle prove.
Acquisizione di prove
Forse l’aspetto più critico dell’indagine forense informatica di successo è un piano rigoroso e dettagliato per l’acquisizione di prove. È necessaria un’ampia documentazione prima, durante e dopo il processo di acquisizione; informazioni dettagliate devono essere registrate e conservate, incluse tutte le specifiche hardware e software, tutti i sistemi utilizzati nel processo di indagine e i sistemi oggetto di indagine. Questo passaggio è dove le politiche relative alla conservazione dell’integrità delle prove potenziali sono più applicabili. Le linee guida generali per la conservazione delle prove includono la rimozione fisica dei dispositivi di archiviazione, l’utilizzo di dischi di avvio controllati per recuperare dati sensibili e garantire la funzionalità e l’adozione di misure appropriate per copiare e trasferire le prove nel sistema dello sperimentatore.
L’acquisizione di prove deve essere effettuata in modo sia deliberato che legale. Essere in grado di documentare e autenticare la catena di prove è fondamentale quando si persegue un caso giudiziario, e questo è particolarmente vero per computer forensics data la complessità della maggior parte dei casi di sicurezza informatica.
Esame delle prove
Al fine di indagare in modo efficace le prove potenziali, le procedure devono essere in atto per il recupero, la copia e la memorizzazione delle prove all’interno di database appropriati. Gli investigatori in genere esaminano i dati dagli archivi designati, utilizzando una varietà di metodi e approcci per analizzare le informazioni; questi potrebbero includere l’utilizzo di software di analisi per cercare enormi archivi di dati per parole chiave o tipi di file specifici, nonché le procedure per il recupero di file che sono stati recentemente cancellati. I dati contrassegnati con orari e date sono particolarmente utili per gli investigatori, così come i file sospetti o i programmi che sono stati crittografati o intenzionalmente nascosti.
Anche l’analisi dei nomi dei file è utile, in quanto può aiutare a determinare quando e dove sono stati creati, scaricati o caricati dati specifici e può aiutare gli investigatori a collegare i file sui dispositivi di archiviazione ai trasferimenti di dati online (come archiviazione basata su cloud, e-mail o altre comunicazioni Internet). Questo può anche funzionare in ordine inverso, poiché i nomi dei file di solito indicano la directory che li ospita. I file che si trovano online o su altri sistemi spesso puntano al server e al computer specifici da cui sono stati caricati, fornendo agli investigatori indizi su dove si trova il sistema; abbinare i nomi dei file online a una directory sul disco rigido di un sospetto è un modo per verificare le prove digitali. In questa fase, gli investigatori forensi informatici lavorano in stretta collaborazione con investigatori criminali, avvocati e altro personale qualificato per garantire una comprensione approfondita delle sfumature del caso, delle azioni investigative consentite e di quali tipi di informazioni possono servire come prova.
Documentazione e segnalazione
Oltre a documentare completamente le informazioni relative alle specifiche hardware e software, gli investigatori forensi informatici devono tenere un registro accurato di tutte le attività relative all’indagine, inclusi tutti i metodi utilizzati per testare la funzionalità del sistema e recuperare, copiare e archiviare i dati, nonché tutte le azioni intraprese per acquisire, esaminare e valutare le prove. Questo non solo dimostra come l’integrità dei dati degli utenti è stata preservata, ma assicura anche politiche e procedure adeguate sono state rispettate da tutte le parti. Poiché lo scopo dell’intero processo è acquisire dati che possono essere presentati come prove in un tribunale, la mancata documentazione accurata del processo da parte di un investigatore potrebbe compromettere la validità di tali prove e, in definitiva, il caso stesso.
Per gli investigatori forensi informatici, tutte le azioni relative a un caso particolare devono essere contabilizzate in un formato digitale e salvate in archivi opportunamente designati. Ciò aiuta a garantire l’autenticità di qualsiasi risultato consentendo a questi esperti di sicurezza informatica di mostrare esattamente quando, dove e come le prove sono state recuperate. Consente inoltre agli esperti di confermare la validità delle prove facendo corrispondere la documentazione registrata digitalmente dello sperimentatore a date e orari in cui questi dati sono stati accessibili da potenziali sospetti tramite fonti esterne.
Ora più che mai, gli esperti di sicurezza informatica in questo ruolo critico stanno aiutando il governo e le forze dell’ordine, le società e gli enti privati a migliorare la loro capacità di indagare su vari tipi di attività criminali online e affrontare una serie crescente di minacce informatiche a testa alta. I professionisti IT che conducono indagini forensi informatiche hanno il compito di determinare specifiche esigenze di sicurezza informatica e di allocare efficacemente le risorse per affrontare le minacce informatiche e perseguire gli autori di dette stesse. Un master in cybersecurity ha numerose applicazioni pratiche che possono dotare i professionisti IT con una forte conoscenza di computer forensics e pratiche per sostenere la catena di custodia, mentre documentare prove digitali. Gli individui con il talento e l’istruzione per gestire con successo le indagini forensi informatiche possono trovarsi in una posizione altamente vantaggiosa all’interno di un campo di carriera dinamico.
Per saperne di più
Come il più antico college militare privato della nazione, l’Università di Norwich è stata leader nell’educazione innovativa dal 1819. Attraverso i suoi programmi online, Norwich offre curricula pertinenti e applicabili che consentono ai suoi studenti di avere un impatto positivo sui loro luoghi di lavoro e le loro comunità.
Alla Norwich University, estendiamo una tradizione di educazione basata sui valori, dove studi strutturati, disciplinati e rigorosi creano un’esperienza stimolante e gratificante. I programmi online, come il Master of Science in Cybersecurity, hanno reso il nostro curriculum completo disponibile a più studenti che mai.
L’Università di Norwich è stata designata come Centro per l’eccellenza accademica nell’educazione alla difesa informatica dalla National Security Agency e dal Department of Homeland Security. Attraverso il tuo programma, puoi scegliere tra cinque concentrazioni progettate in modo univoco per fornire un esame approfondito di politiche, procedure e struttura complessiva di un programma di garanzia delle informazioni.
Letture consigliate:
Furto di identità negli Stati Uniti
5 Violazioni significative dei dati del 2017 & Come sono accadute
La criminalità nel deep Web richiede nuovi approcci forensi