Come fare per recuperare file eliminati per le indagini aziendali
Lo sviluppo della tecnologia digitale ha promosso la diffusione sempre più capillare di dispositivi in grado di immagazzinare una grande quantità di dati e file di ogni genere. Telefoni cellulari, computer portatili, pendrive USB e non solo ne hanno aumentato in maniera considerevole la ‘portabilità’; questo processo di inesorabile digitalizzazione non è però privo di rischi, specie se i dati sopra menzionati riguardano un’azienda o una società e pertanto possono veicolare informazioni sensibili da tenere riservate. Vi è anche la possibilità che i dati, per un motivo o per l’altro, vadano persi e si ponga la necessità di recuperarli anche (ma non solo) nell’ambito di indagini aziendali specializzate che rientrano nell’ambito dell’informatica forense.
Cos’è il recupero file e perché è importante per le indagini
L’informatica forense è un ramo – di recente formazione – delle scienze forensi; in quanto tale, essa si occupa di individuare, per mezzo di tecniche specialistiche, le cosiddette “prove digitali” (‘digitalevidence’ in inglese), ossia qualsiasi elemento o informazione, esistente in formato digitale, che possa assumere valore di prova (ovvero abbia ‘rilevanza probatoria’) nell’ambito di un procedimento giudiziario.
Una delle principali procedure di informatica forense è il recupero dei file. Con questa espressione si intende il ritrovamento e il ripristino di file di vario tipo che sono stati cancellati o sono andati persi da un qualsiasi dispositivo digitale (come ad esempio computer, notebook, hard disk, memoria esterna, smartphone e simili).
Come spiega Salvatore Piccinni – Managing Director Head of Southern Europe di Inside Intelligence & Security Investigations, nell’ambito di indagini di informatica forense, la procedura di recupero dei file riveste un ruolo di grande importanza poiché rappresenta la fase investigativa imprescindibile per reperire materialmente l’oggetto dell’indagine, ovvero dati, file e informazioni da analizzare in maniera sistematica per individuare quegli elementi che possano costituire la prova di un reato (informatico e non) consumato a danno del mandante delle indagini.
Quali tipi di file si possono recuperare
Le indagini forensi sono mirate, come detto, al recupero ed all’analisi di file e dati allo scopo di individuare elementi di natura probatoria. In generale, le varie tecniche di acquisizione consentono di recuperare diversi tipi di file:
- Cronologia di navigazione internet;
- Storico delle attività svolte per mezzo del dispositivo;
- Conversazioni effettuate tramite servizi e applicazioni di messaggistica (WhatsApp, Messenger e affini);
- File audio e video.
Nella maggior parte dei casi, chi si occupa dell’acquisizione punta a recuperare non solo i file ancora presenti nella memoria del device ma anche – se non soprattutto – quelli che potrebbero essere stati cancellati in maniera dolosa da chi ha avuto accesso al dispositivo.
I dati sopra elencati consentono ai tecnici di identificare eventuali anomalie, ossia tracce di accessi forzosi ai sistemi operativi o eventuali tentativi di manomissione; questi, a loro volta, possono essere indicatori dello stato di integrità dei sistemi di sicurezza del dispositivo. Nel caso in cui i controlli vengano effettuati su device ad uso aziendale, le indagini possono essere orientate anche a smascherare attività illecite da parte dei dipendenti, come ad esempio l’acquisizione, la diffusione di informazioni riservate o dati sensibili oppure la messa in atto di frodi di varia natura, attività di spionaggio e sabotaggio a danno dell’azienda stessa.
Come avviene il recupero dati a fine probatorio
Il recupero dei file eliminati o cancellati dalla memoria di un dispositivo elettronico o digitale è una procedura che deve essere svolta da tecnici professionisti qualificati, in grado di attuare la strategia operativa più consona al caso per mezzo degli strumenti tecnologici adatti allo scopo. Per questo, le indagini di informatica forense vanno affidate ad un’agenzia di investigazioni privata specializzata; il mandato può essere conferito tanto in prima persona quanto per mezzo di un legale rappresentante.
L’iter investigativo si sviluppa in diverse fasi successive, ciascuna funzionale a quella seguente. Il primo passo verso il recupero dei dati consiste nell’individuare il device e isolarlo(in gergo tecnico, il dispositivo va ‘repertato’), in maniera tale da impedire la sovrascrittura di nuove informazioni che vanificherebbe l’intera procedura di recupero. Per quanto riguarda i dispositivi di telefonia cellulare (per i quali si parla di ‘mobile forensics’), in particolare, il corretto isolamento è fondamentale, dal momento che smartphone ed iphone sono concepiti primariamente per comunicare in vario modo con altri dispositivi. A tale scopo, i tecnici possono utilizzare una ‘gabbia di Faraday’ o dei jammer, utili a proteggere il dispositivo ed assicurare il mantenimento dell’integrità dei dati conservati al suo interno.
Una volta completata questa operazione preliminare, i tecnici possono procedere alla realizzazione di una copia del dispositivo originale: così facendo avranno a disposizione una risorsa meno vulnerabile sulla quale lavorare e, cosa più importante, è possibile preservare il device originale e il relativo valore probatorio.
Il terzo step è quello che prevede il recupero vero e proprio dei dati, che vengono estratti dal device per essere analizzati. Questa fase prevede che i dati estrapolati dal dispositivo vengano catalogati ed etichettati, dal momento che non tutti sono di pari importanza ai fini investigativi. Esistono diverse tecniche di acquisizione:
- Bit a bit: viene utilizzata una memoria di dimensioni pari a quelle della memoria del dispositivo;
- Acquisizione file system: questa tecnica prevede di conservare intatta la struttura dei file (cartelle, archivi e simili) ma raramente consente di recuperare anche i file già cancellati;
- Acquisizione foto–visiva: si tratta di un tipo di acquisizione ‘soft’ e pe nulla invasiva, in quanto viene effettuata senza accedere alla memoria del dispositivo ma realizzando foto o video dei fil contenuti nella memoria del dispositivo; naturalmente, essa non permette di analizzarne il contenuto;
- Back-up: è il metodo forse più approfondito, in quanto consente di recuperare tutti i tipi di file che il sistema operativo è in grado di salvare.
È possibile distinguere ulteriormente tra le varie tecniche di acquisizione a seconda di come avviene l’accesso ai dati; in alcuni casi, questi vengono estrapolati dalla memoria ma talvolta i tecnici possono collegarsi direttamente al chip per ottenere i file conservati nel dispositivo.
Dopo di ché, segue l’analisi del contenuto dei dati, al fine di individuare quelle che potrebbero avere un significativo valore probatorio. La catalogazione e differenziazione dei dati recuperati può essere fatta manualmente o attraverso un procedimento automatizzato, utilizzando parametri e criteri differenti a seconda del tipo di indagine: questo passaggio necessita della massima cura, dal momento che è indispensabile non alterare in alcun modo le informazioni che vengono passate al vaglio. L’iter investigativo si conclude con la redazione, da parte dei tecnici incaricati di svolgere le indagini, di una relazione finale; all’interno di questo documento destinato al mandante dei controlli vengono riportate tutte le procedure svolte e i risultati ottenuti. I riscontri evidenziati nella relazione possono costituire materiale probatorio.