Ecco come viene indagato il crimine informatico: la CSI della criminalità digitale
Quando viene commesso un crimine digitale, seguire gli indizi per raggiungere il criminale non è un compito facile. È necessario l'intervento di esperti informatici, che sono quelli che svolgono le indagini. I CSI della criminalità digitale sono specializzati per seguire la pista che tutte le manipolazioni illegali di computer lasciano sul loro cammino.
Questo percorso si basa sul principio del Locard Exchange, che afferma che tutti i contatti digitali lasciano traccia. Da una semplice conversazione di WhatsApp a un caso di cyberbullismo o un trucco aziendale, tutto lascia una traccia nelle reti di computer che un esperto può seguire per identificare il criminale o il criminale informatico e il danno che si è verificato nel sistema dell'utente.
Questo compito di monitoraggio e ricerca è complesso e richiede anche una strategia. Carlos Aldama, ingegnere informatico presso Aldama Informática Legal, spiega che "a volte è necessario" consentire "all'aggressore di continuare a commettere reati per raccogliere più dati. vasi di miele (vasi di miele) con cui l'attaccante è "distratto" pensando che sta assaltando l'obiettivo e ci consente di raccogliere i loro dati ".
8 passaggi per indagare sui crimini digitali
Nel processo di investigazione dei crimini digitali, gli esperti informatici di solito seguono i seguenti passi:
1. Identificazione del reato: Permette di conoscere il mezzo in cui viene eseguito il crimine digitale per creare la strategia e i passi da seguire. Una manipolazione di WhatsApp o di qualsiasi altro social network per includere frasi o conversazioni non è la stessa cosa di uno spionaggio industriale o l'hacking di un server di un'azienda, sebbene tutte queste forme costituiscano un crimine.
2. Ridurre la scena del crimine: più ampio è lo scenario di ricerca, meno efficace sarà. Delimitando il campo, gli esperti sono in grado di identificare meglio le prove del percorso per trovare il criminale informatico.
3. Salva le prove: È essenziale raccogliere tutte le informazioni necessarie attraverso il dispositivo dal quale è stato commesso il crimine per mostrare le conseguenze. Per fare ciò, gli esperti informatici usano diversi mezzi. L'elenco delle tecnologie è lungo, evidenziamo:
- Clonazione forense per la raccolta e la clonazione di dischi rigidi
- Scrivere blocchi per non modificare i dischi analizzati
- Dispositivi mobili di analisi forense
- Gabbie di Faraday, per evitare l'accesso remoto e cancellare i dati
4. Custodia delle prove: per ottenere e garantire una "non manipolazione dei dati". l'effettiva custodia viene eseguita davanti a un Notaio o tramite atti con testimoni in cui viene calcolato l'Hash di evidenza. Richiede anche grande meticolosità nella registrazione, etichettatura e trasferimento in un luogo sicuro. Tutti i test devono mantenere il loro formato digitale in modo che possano essere verificati e controllati.
L'importanza di questo passaggio è fondamentale, dal momento che, come afferma Aldama, "se non viene eseguito correttamente, molte cose possono accaderci: ad esempio, un cellulare che stiamo esaminando ha un software di controllo remoto e cancelliamo il test o il i dati cadono nelle mani di una terza parte che può manipolarli, laddove possibile, la raccolta delle prove deve essere certificata in modo tecnico, indicando la marca temporale che consente di garantire tutte le azioni ".
5. Analizzare le prove: una ricostruzione del crimine deve essere eseguita, analizzando i dati per rispondere alle domande dell'indagine. È normale lavorare su macchine clonate per effettuare i test forensi che sono necessari, indagando su tutti i dati eliminati e facendo un esame approfondito di ciascuna prova in base all'oggetto dell'informatica.
Quando si verifica un furto, l'estrazione dei dati viene eseguita prima tramite dispositivi esterni, tramite rete o internet. In secondo luogo, viene analizzata la paternità della fuga di dati, individuando sempre dove possibile il responsabile finale della destinazione e quindi controllando la navigazione effettuata con ricerche "cieche" che, a seguito di termini positivi (obiettivi di ricerca) e negativi (parole che possono minacciare comunicazioni, privacy ...), possono portarci direttamente al centro dell'indagine.
6. Documentazione e risultati: È molto importante documentare tutte le ricerche in un report e farlo bene, perché altrimenti non è valido. Questi rapporti dovrebbero essere comprensibili ai non esperti. Il processo investigativo del crimine digitale realizzato deve essere raccolto passo dopo passo in modo che la parte avversa possa raggiungere le stesse conclusioni seguendo le stesse fasi.
7. Ratifica in tribunale e difesa della relazione: Nel processo giudiziario, gli esperti informatici devono presentare tutte le informazioni raccolte nelle loro indagini. L'esposizione del suo lavoro di ricerca dovrebbe essere comprensibile ai non esperti del settore. Questo si basa sull'efficienza nel processo giudiziario.
Marisol Nuevo Espín
consiglio: Carlos Aldama. Computer Engineer di Aldama Computer Legal