Al fine di garantire la qualità delle Perizie fornite, il Consulente IT Forense deve tenersi costantemente aggiornato in diverse aree professionali:
Area Tecnica
Crittografia. Può risultare impossibile per gli investigatori analizzare il contenuto di file/hard disk crittografati senza la chiave corretta o la password. Questa può essere memorizzata altrove sul computer o su un altro computer a cui l’indagato ha avuto accesso; potrebbe risiedere in una memoria volatile di un computer (RAM) che andrebbe persa in caso di spegnimento del computer. A questo fine l’esaminatore deve saper rapidamente riconoscere una chiave di crittografia anche nel caso di investigazione su sistemi “live”, evitandone lo spegnimento.
Nuove tecnologie. Il Consulente IT Forense deve aggiornare costantemente i propri sistemi di analisi per poter garantire la potenza di elaborazione e di archiviazione necessaria all’analisi di enormi quantità di dati. L’IT è un campo in continua evoluzione: hardware, software e sistemi operativi si rincorrono nelle diverse versioni/release.
Anti-forensic è la pratica di contrasto attuata nei confronti delle analisi di IT Forense. Ciò può includere la crittografia, la sovrascrittura irreversibile dei dati, la modifica dei metadati, e l’offuscamento o mascheramento dei files. Come per la crittografia, le tracce di utilizzo di tali metodi sono conservate nel sistema. Nella nostra esperienza, è molto raro vedere strumenti Anti-forensic utilizzati correttamente e con frequenza tale da oscurare completamente la loro presenza in memoria.
Area Giuridica
Argomentazioni giuridiche possono confondere o distrarre dalle risultanze di un esaminatore.
Esempio: un Trojan è un codice informatico (programma eseguibile) mascherato da Applicazione benigna ma che, una volta scaricato ed installato, ha un effetto scopo nascosto e dannoso.
I Trojans hanno molti fini, fra i quali il key-logging), l’upload e il download di file e l’installazione di virus.
Un avvocato potrebbe sostenere che le azioni illecite su un computer non sono state effettuate dall’utente (da lui difeso), ma sono state automatizzate da un Trojan a sua insaputa.
Una linea difensiva come quella sopra descritta è stata usata con successo anche quando nessuna traccia di un Trojan o altro codice nocivo sarebbe stata trovata sul computer del sospetto.
In questi casi è necessario fornire l’evidenza documentata da un Consulente IT Forense competente, in grado di contrastare efficacemente tale ipotesi difensiva.
La conoscenza dei principali riferimenti giuridici e degli articoli dei Codici violati nei crimini Informatici, garantiscono l’efficacia nella stesura della Perizia finale.
Area Amministrativa
Standard accettati. Ci sono una pletora di norme e linee guida nell’IT Forense, alcune delle quali universalmente accettate, altre localmente riconosciute come standard de facto.
In molte giurisdizioni infatti non esiste un ente Certificatore che verifichi la competenza e l’integrità dei professionisti IT Forensi. In tal caso chiunque si può presentare come un esperto di Forensic IT, causando, in caso di evidente impreparazione, una visione negativa della professione nel suo complesso.
A questo fine è necessario verificare l’appartenenza/certificazione del Consulente Tecnico a riconosciuti e comprovati Enti, Associazioni o Istituzioni.