La forensica digitale (o digital forensics, informatica forense) è la disciplina scientifica che si occupa di acquisire, preservare, analizzare e presentare evidenze digitali in modo rigoroso, ripetibile e documentato — sia per supportare procedimenti legali (penali o civili) sia per rispondere a incidenti di sicurezza informatica. L’obiettivo è ricostruire la cronologia degli eventi, identificare i responsabili, comprendere l’entità della compromissione e raccogliere prove utilizzabili in giudizio.
Principi fondamentali
Preservazione dell’integrità: le evidenze digitali sono per natura fragili e modificabili. La regola aurea è non lavorare mai sul supporto originale. Prima di qualsiasi analisi si esegue una copia forense bitwise (immagine settore per settore del dispositivo, inclusi settori cancellati e spazio non allocato) e si verifica l’integrità tramite hash (SHA-256). Tutta l’analisi avviene sulla copia; l’originale viene sigillato e conservato.
Catena di custodia: ogni evidenza deve essere accompagnata da documentazione che traccia chi l’ha acquisita, quando, dove, con quali strumenti, e come è stata conservata e trasferita. Una catena di custodia interrotta o non documentata rende l’evidenza contestabile e potenzialmente inutilizzabile in giudizio.
Ripetibilità: le analisi forensi devono essere ripetibili da un esperto indipendente con gli stessi risultati. Questo esclude strumenti black-box non verificabili e richiede documentazione metodologica dettagliata.
Branche della forensica digitale
Disk forensics: analisi di hard disk, SSD e supporti removibili. Recupero di file cancellati (i dati rimangono sul disco fino a essere sovrascritti), analisi della struttura del filesystem, timeline di accesso/modifica/creazione, artefatti del sistema operativo (Prefetch, Registry, LNK file, Recycle Bin).
Memory forensics: analisi della RAM volatile acquisita con strumenti come Volatility o Rekall. Rivela processi in esecuzione (inclusi quelli nascosti), connessioni di rete attive, chiavi crittografiche in memoria, credenziali, artefatti di malware che non toccano mai il disco (fileless malware).
Network forensics: analisi di pcap (packet capture), log di firewall, log DNS, NetFlow. Ricostruisce la comunicazione tra sistemi, identifica l’esfiltrazione di dati, individua i canali C2.
Mobile forensics: acquisizione e analisi di smartphone e tablet — messaggi, chiamate, posizione GPS, app dati, artefatti cloud sincronizzati. Richiede strumenti specializzati (Cellebrite, MSAB XRY) per bypassare la cifratura del dispositivo quando possibile.
Cloud forensics: raccolta di log e evidenze da ambienti cloud (AWS CloudTrail, Azure Activity Log, GCP Audit Logs). Più complessa per la dipendenza dal provider e la possibilità che i log non siano abilitati o siano già stati sovrascritti.
Il processo di analisi
- Acquisizione: copia forense del supporto con write blocker hardware per impedire modifiche accidentali. Hash dell’immagine per verificarne l’integrità.
- Esame: indicizzazione e catalogazione degli artefatti rilevanti — file di sistema, log, metadati, spazio non allocato.
- Analisi: correlazione degli artefatti per ricostruire la timeline, identificare le azioni dell’attaccante, determinare il punto di ingresso, la persistenza usata, il movimento laterale, l’esfiltrazione.
- Reporting: documentazione delle scoperte in forma comprensibile anche a non-tecnici (giudici, avvocati, management), con distinzione esplicita tra fatti osservati e inferenze.
Forensica nell’Incident Response
La forensica digitale e l’incident response sono discipline complementari con un’intersezione critica: durante un incidente, le azioni di contenimento (spegnere un server, disconnettere dalla rete) possono distruggere evidenze forensi preziose. Il corretto sequenziamento — acquisire le evidenze volatili (RAM, connessioni di rete attive) prima di procedere al contenimento — è una competenza specifica che deve essere pianificata nei playbook IR.