Copia forense smartphone
ApprofondisciCopia forense computer
ApprofondisciCopia forense WhatsApp
ApprofondisciCopia forense
Copie forensi di smartphone e computer
La copia forense, nota anche come “immagine forense” o “copia bit a bit”, è una tecnica utilizzata per acquisire una replica esatta, valida a livello Legale, di un dispositivo informatico o di una parte di esso, come ad esempio uno smartphone, un computer, un disco rigido, una memoria USB o una scheda di memoria. Questa operazione viene eseguita settore per settore, garantendo di catturare ogni singolo bit di dati presenti nel dispositivo originale. Il risultato è una copia identica dell’originale, inclusi file di sistema, spazi vuoti e dati eliminati.
La copia forense riveste un ruolo critico in diverse situazioni, tra cui:
- Certificazione dei dati: nel caso in cui sia necessario presentare all’interno di un Giudizio dei dati che possano essere contestati, l’unica strada percorribile è quella di eseguire una copia forense del dispositivo informatico nel quale i dati sono contenuti (ad esempio: file audio, conversazioni WhatsApp, SMS, chiamate, etc…)
- Investigazioni: in ambito investigativo, i dispositivi elettronici possono contenere prove cruciali. Una copia forense del dispositivo del sospettato o della vittima consente di analizzare i dati senza alterarli e di identificare elementi chiave per il caso concreto (ad esempio: posizioni GPS, telefonate effettuate, conversazioni intercorse con altri soggetti, etc…)
- Recupero Dati: In caso di guasti hardware o eliminazione accidentale di file importanti, la copia forense può essere utilizzata per tentare il recupero dei dati persi o cancellati, in quanto in grado di leggere tutti i settori di memoria, potendo così ricostruire eventuali informazioni danneggiate o frammentate
Come avviene una copia forense
Per eseguire una copia forense vengono utilizzati strumenti e software differenti in base al supporto da acquisire. L’acquisizione di uno smartphone, infatti, verrà eseguita con strumentazione apposita e differente rispetto a quella necessaria per la copia forense di un computer. Prerogativa comune a tutte le tipologie di copie forensi, è però l’esecuzione di tale attività in modalità “solo lettura“, ovvero mediante accorgimenti che impediscano all’operatore, oppure ai software utilizzati, di scrivere erroneamente delle informazioni all’interno della memoria del dispositivo sottoposto alla copia.
La copia forense avviene in modalità “solo lettura” per garantire l’integrità e l’inalterabilità dei dati presenti sul dispositivo sottoposto all’acquisizione. Ciò significa che il processo di copia forense non modifica né aggiunge alcun dato sul dispositivo originale durante l’operazione. Esso è progettato per essere un processo “non intrusivo” e “non distruttivo”, affinché le informazioni raccolte siano accettabili e adatte per un’eventuale utilizzo come prova legale.
Ci sono diverse ragioni chiave per cui la copia forense viene effettuata in modalità “solo lettura”:
- Preservazione delle prove: Nell’ambito delle indagini criminali, è fondamentale preservare tutte le prove digitali senza alcuna alterazione. La modalità “solo lettura” garantisce che i dati originali del dispositivo rimangano invariati e non vengano sovrascritti durante l’acquisizione. Ciò consente agli investigatori di lavorare sulla copia forense senza correre il rischio di compromettere la validità delle prove raccolte.
- Ammissibilità legale: Le copie forensi possono essere utilizzate come prove in tribunale, ma solo se vengono raccolte rispettando rigorosi standard legali e tecnici. La modalità “solo lettura” offre una maggiore fiducia nella validità delle prove e ne aumenta l’ammissibilità in un’aula di giustizia. Se il processo di acquisizione fosse “scrivibile” (cioè permettesse la scrittura di dati sul dispositivo originale), ciò potrebbe mettere in dubbio l’integrità delle prove e la loro origine, rendendo le copie forensi non affidabili ai fini legali.
- Evitare infezioni e danni accidentali: Quando si esegue una copia forense in modalità “solo lettura”, si riducono notevolmente i rischi di infezioni da malware o di danni accidentali al dispositivo originale. Se fosse consentita la scrittura sul dispositivo durante l’acquisizione, ci si esporrebbe a possibili manipolazioni involontarie che potrebbero compromettere l’integrità delle prove o distruggere dati importanti.
Costo copia forense
Il costo di una copia forense dipende dalla tipologia di dispositivo che è necessario acquisire, dalla grandezza totale della memoria e dalla strumentazione che è necessario utilizzare. Generalmente, il costo di una copia forense smartphone si attesta intorno ai 600 Euro (relazione ed analisi esclusa), comprensivi del dispositivo di riversamento dei dati. Allo stesso modo, possiamo considerare analogo il costo di copia forense di un computer o di un hard disk esterno, essendo le operazioni necessarie similari.
Per quanto riguarda la copia di server e NAS, invece, solo il caso concreto (in particolar modo sulla base dell’infrastruttura e numero di dischi) permette di preventivare un costo relativo a queste attività, generalmente più complesse, le quali richiedono attrezzatura specifica e, soprattutto in caso di server, l’utilizzo di un “copiatore forense” che dovrà essere fisicamente trasportato sul luogo in cui il server è ubicato.
Write Blocker
Avendo parlato della modalità “solo lettura”, cerchiamo di approfondire come questa venga garantire durante il processo di acquisizione.
Nella pratica, si utilizzando dei sistemi denominati “Write-Blocker”, i quali possono essere suddivisi in due categorie:
- Write-Blocker Hardware
- Write-Blocker software
Per quanto riguarda i primi (Write Blocker hardware), questi sono dei veri e propri dispositivi che vengono interposti tra lo strumento di acquisizione ed il dispositivo che si intende acquisire.
Nel caso dei duplicatori forensi, questi sono integrati all’interno del sistema stesso.
Per quanto riguarda il secondo tipo (Write Blocker software), questi sono esclusivamente dei software che impediscono al sistema di poter procedere alla scrittura sul dispositivo collegato (generalmente alle porte USB). Nonostante agli occhi di un neofita quest’ultimo sia meno “scenico”, il risultato è il medesimo.
L’utilizzo di una soluzione hardware è ad oggi utilizzata relativamente rispetto al passato, anche se vi siano situazioni in cui, tutt’ora, può e deve essere utilizzata.
Cerchi una perizia informatica forense?
Se necessiti di una perizia informatica forense, contattaci telefonicamente o mediante il modulo online. Operiamo in tutta Italia.
PerizieInformatiche.it è il punto di riferimento italiano per le Consulenze Informatiche Forensi, copie forensi per cellulari e smartphone e Perizie Informatiche con valore Legale.
Attivi dal 2020 su tutto il territorio italiano.
© 2023 - Perizie Informatiche Forensi