Copia forense informatica

Quando si parla di informatica forense, la prima cosa con cui ci si va a scontrare è la copia forense, elemento indispensabile all’interno di una relazione di informatica forense. Questa guida spiega in modo operativo cosa è una copia forense, come ottenerla correttamente per scopi probatori e quali documenti e controlli servono per renderla ammissibile in sede giudiziaria.

Cos’è la copia forense

La copia forense (chiamata spesso anche immagine forense, copia conforme, copia bit a bit) di uno smartphone, computer, dispositivo di memoria ed ogni altro supporto informatico in genere (anche, eventualmente, di un drone, auto, televisore e così via), è la duplicazione del supporto stesso valido a fini giudiziari/processuali, sia in ambito civile che penale. Il risultato di una copia forense è infatti un insieme di dati che replicano e certificano (mediante un hash) che la clonazione del dispositivo informatico è avvenuta in maniera tale da cristallizzare i dati contenuti nella copia.
In parole più semplici, una copia forense è la copia sulla quale il perito informatico andrà ad effettuare le proprie analisi/indagini, avendo la sicurezza che i dati su cui lavora sono l’esatta copia di quanto contenuto nel dispositivo clonato e che il suo lavoro sarà contestabile in ogni sede di giudizio.

La copia forense è la cristallizzazione di una prova informatica valida a fini legali e questa può essere fatta per qualsiasi dispositivo informatico: il caso più comune è quello che coinvolge uno smartphone, un PC o un hard disk (sia esso meccanico che SSD), ma sono in crescita anche i casi in cui è necessario effettuare una copia di droni, automobili, televisori e soprattutto servizi cloud come Dropbox, iCloud, etc…

La copia forense delle email è altresì possibile e rientra tra i casi più comuni insieme a smartphone e computer. Per quanto riguarda la cristallizzazione di pagine Web, invece, questo avviene con metodologie differenti, ma che mirano agli stessi obiettivi: cristallizzazione del dato informatico e ripetibilità delle operazioni svolte da parte del tecnico informatico forense.

Una copia forense deve avere determinate caratteristiche affinché possa definirsi tale e possa essere utilizzata validamente:

• La copia forense deve rispettare i criteri indicati all’interno della L.48/2008 affinché possa considerarsi ammissibile in giudizio
• La copia forense deve essere identica all’originale. Durante le varie fasi di acquisizione ed analisi le informazioni non devono in alcun modo essere alterate
• Deve essere generato l’hash identificativo della copia forense, il quale deve corrispondere all’hash generato per il supporto clonato. Deve esserci corrispondenza tra i due hash, per affermare che la copia effettuata sia l’effettivo “clone” del supporto di origine
• Le operazioni sulla copia forense devono essere ripetibili da qualsiasi altro soggetto: terzi devono poter giungere alle stesse conclusioni inserite nella perizia informatica forense, mediante eventuali loro analisi
• Deve essere mantenuta una catena di custodia del reperto informatico, in particolar modo durante le fasi di spostamento.

Normativa, giurisprudenza e ammissibilità in giudizio

La copia forense deve rispettare i criteri indicati all’interno della L.48/2008 affinché possa considerarsi ammissibile in giudizio, nonché una serie di standard internazionali rilevanti e best practices internazionali.

Riassunto pratico della L.48/2008

• La L.48/2008 disciplina la conservazione delle registrazioni e l’attendibilità delle prove digitali; una copia è ammissibile se garantisce integrità, autenticità e tracciabilità.
• Requisiti operativi principali: documentazione puntuale delle operazioni, conservazione della catena di custodia, uso di strumenti affidabili e registrazione degli hash al momento dell’acquisizione.

Standard internazionali rilevanti

• ISO/IEC 27037 — linee guida per identificazione, raccolta, acquisizione e conservazione delle prove digitali.
• NIST SP 800-86 — procedure consigliate per l’acquisizione della memoria volatile e per la documentazione delle attività.

Giurisprudenza: criteri che portano all’ammissione o all’esclusione

Sentenze italiane hanno ammesso copie forensi quando:

• è dimostrata la corrispondenza tra hash dell’originale e dell’immagine;
• la catena di custodia è continua e documentata;
• le operazioni sono descritte con strumenti, versioni e parametri usati.

Al contrario, sono state escluse prove quando mancano log, gli hash non sono documentati o non è possibile replicare l’acquisizione.

Documentazione obbligatoria da allegare

• Verbale di sequestro o autorizzazione (quando applicabile).
• Registro della catena di custodia con firme, timestamp e trasferimenti fisici.
• Log di acquisizione completo con hash (es. SHA256), strumenti e versioni software.
• Fotografie e descrizione dello stato del reperto al momento del ritrovamento.

Indicazioni pratiche per una copia ammissibile

1. Firmare digitalmente i file di log e, dove possibile, usare firme e timestamp qualificati per aumentare la prova dell’integrità.
2. Registrare timestamp ufficiali per tutte le operazioni.
3. Usare algoritmi hash raccomandati (SHA256 come minimo) e conservare copie multiple dei log.
4. Generare almeno due immagini su supporti distinti e conservare l’originale immobile (write-blocker o impostazione HW “read-only”).

Come fare una copia forense

In linea di massima, una copia forense può essere effettuata in due modi:

• Copia forense software
• Copia forense hardware (copiatori forensi)

Nel primo caso, vengono utilizzati appositi software di Digital Forensics. Per procedere in tal senso, è necessario collegare il dispositivo da acquisire al computer sul quale viene avviato il software di acquisizione. Di fondamentale importanza, nel caso si opti per tale scelta, è l’utilizzo di un Write Blocker, ovvero di un dispositivo che, interposto tra la sorgente ed il computer con il quale si effettua la copia forense, impedisce la scrittura involontaria dei dati, permettendo esclusivamente la lettura delle informazioni.
Nel caso dei copiatori forensi, si parla invece di dispositivi hardware (oramai dotati anche di monitor touchscreen a colori) che permettono di acquisire e riversare fino a 4/5/6 dispositivi contemporaneamente e senza l’utilizzo di computer o altre apparecchiature. I copiatori forensi sono estremamente utili in quanto:

• Non è necessario spostare il supporto dal luogo in cui si trova
• È possibile effettuare la copia forense di molteplici dispositivi contemporaneamente, risparmiando molte ore di lavoro
• È possibile riversare, contemporaneamente, la stessa sorgente su molteplici hard disk di destinazione, anche in questo caso risparmiando diverse ore di lavoro
• La velocità di acquisizione è generalmente più elevata di una copia effettuata mediante una copia forense software
• Non è necessario utilizzare write-blocker, in quanto le porte di sorgente sono già impostate in “sola lettura”
• È possibile acquisire centinaia di dispositivi differenti, grazie agli adattatori disponibili

Di contro, un copiatore forense ha un costo non inferiore ai 1.500/1.800 Euro per i modelli più basilari. Si tratta di una strumentazione però indispensabile per un perito informatico forense che si trovi anche alle prime consulenze.

Acquisizioni per tipologia di dispositivo: SSD, HDD, RAM, smartphone, cloud, IoT e veicoli

Quando si affronta l’acquisizione forense di un dispositivo, la metodologia varia sensibilmente in base alla tecnologia coinvolta. I dischi rigidi tradizionali, basati su piatti magnetici, richiedono in genere una clonazione bit-a-bit per garantire la conservazione completa della struttura fisica del supporto. La presenza di settori danneggiati impone l’uso di strumenti in grado di gestire letture saltate, riportare gli errori e mantenere integro il più possibile il mapping originale.
Prima di procedere è sempre opportuno documentare lo stato SMART e le condizioni meccaniche del disco, come raccomandato dalle linee guida NIST SP 800-101 e ISO/IEC 27037.

Gli SSD presentano sfide molto diverse: il comando TRIM, il wear leveling e la gestione dinamica dei blocchi possono alterare lo stato dei dati non allocati, rendendo il recupero di informazioni cancellate decisamente meno prevedibile rispetto ai dischi magnetici. In questi casi si acquisisce il contenitore fisico e si annota con precisione lo stato SMART, specificando che la presenza del TRIM potrebbe aver modificato porzioni di memoria in modi non deterministici, come descritto in vari studi sull’analisi forense dei solid-state drive (ad esempio, Wei et al., FAST ’11).

La memoria volatile merita un’attenzione particolare: contiene spesso chiavi di cifratura, token di sessione, processi attivi e frammenti di conversazioni o attività recenti. Per questo la sua acquisizione dovrebbe precedere quella del disco, al fine di evitare che un semplice spegnimento del sistema comporti la perdita irrimediabile di informazioni critiche. Strumenti come FTK Imager o LiME consentono di effettuare dump affidabili, come indicato nelle raccomandazioni del Digital Forensics Research Workshop (DFRWS).

I dispositivi mobili richiedono un approccio ancora più articolato. La distinzione tra acquisizione logica e fisica rimane centrale: la seconda offre una profondità nettamente superiore, ma spesso dipende da procedure dedicate, exploit controllati o operazioni di rooting/jailbreak. Su iOS la presenza della Secure Enclave limita l’accesso diretto alla memoria interna e impone l’uso di soluzioni certificate, sempre documentando le eventuali restrizioni. Il panorama Android è più frammentato: differenze tra OEM, bootloader bloccati e versioni del sistema richiedono l’utilizzo di strumenti professionali come Cellebrite o soluzioni equivalenti per ottenere estrazioni fisiche complete. In ogni caso è necessario registrare la presenza di sincronizzazioni cloud, token associati e impostazioni che possono influire sulla disponibilità dei dati, come spiegato anche nella Mobile Device Forensics Guide del NIST.

Le acquisizioni in ambiente cloud e SaaS devono invece concentrarsi sull’esportazione tramite API ufficiali, procedure interne del provider oppure sul recupero dei dati dai dispositivi sincronizzati. È essenziale preservare metadati, timestamp, audit log e qualsiasi informazione che possa ricostruire il contesto dell’attività dell’utente. Le query utilizzate per ottenere gli export devono essere annotate integralmente, come suggerito dal NIST SP 800-86 per la gestione delle evidenze distribuite.

Infine, l’universo IoT e quello dei veicoli introduce scenari complessi, spesso legati a hardware proprietario. L’acquisizione può coinvolgere ECU, black box, telemetria o memorie locali con cicli di sovrascrittura molto rapidi. In questi casi risulta fondamentale garantire alimentazione stabile, evitare reset accidentali e documentare ogni passaggio necessario per l’accesso, seguendo le indicazioni presenti negli standard SAE J1698 e nelle pubblicazioni dedicate alla forensica automobilistica. La delicatezza dei sistemi coinvolti impone una cura estrema per scongiurare la perdita di dati volatili e preservare la validità probatoria dell’intera operazione.

Costo copia informatica forense

Il costo di una copia forense non è facilmente definibile a priori, in quanto bisogna considerare il numero di dispositivi sorgente, la tipologia ed il luogo in cui si trovano. È possibile ipotizzare un costo per copia forense tra i 500 e 1.000 euro, ai quali vanno poi aggiunti i costi di analisi forense. In linea di massima, una perizia di informatica forense ha un costo totale che oscilla tra i 1.500 e 3.000 Euro a computer, smartphone, hard disk, comprensivo di relazione finale.

Relazione informatica forense

La copia forense è seguita generalmente da un’analisi del dispositivo clonato. In tale fase, il perito informatico forense (il Digital Forensics Expert) effettua, mediante appositi software, le operazioni necessarie al fine di estrapolare ciò che è stato richiesto da parte del committente (Studi Legali, Procure, Imprese, etc…) e redige una relazione di perizia informatica all’interno della quale viene descritto non soltanto il procedimento che ha portato alla copia forense (con eventuali indicazioni legislative e di Best Practices), ma anche e soprattutto le evidenze individuate (come, ad esempio, la copia non autorizzata di dati da parte di un dipendente infedele, intrusioni informatiche, recupero dati, etc…)