Nell’ Informatica Forense le procedure realizzate si dividono nelle seguenti tappe:  

 

1) Acquisizione: significa copiare in una maniera speciale il contenuto greggio dell’informazione del sistema sotto osservazione. Dopo si lavorerà su questa copia (chiamata immagine) lasciando intatta l’informazione originale. Questa attività si fará non avviando il computer nella maniera convenzionale ma accedendo ai dischi in modo di solo lettura. Neanche un byte deve essere alterato dal momento in cui inizia il nostro intervento. Bisogna considerare che il semplice avvio (boot) di un computer altera almeno alcuni archivi nei suoi contenuti e date, varia la quantità totale d’archivi, ecc. Lo stesso accade quando apriamo un archivio anche solo per leggerlo o stamparlo. Si possono rintracciare indizi di tutto questo tipo d’attività in un computer. L’acquisizione può comprendere da un dischetto o un disco rigido di un computer fino ad un insieme di dischi di un server, un insieme di nastri o parecchi computer di un’organizzazione.

2) Convalidazione e preservazione dei dati acquisiti: Per mezzi matematici si deve calcolare in maniera normalizzata un codice unico corrispondente a quella combinazione unica di bytes che costituisce la totalità del mezzo in osservazione. Questo codice di validità deve essere abbastanza complesso per evitare che sia generato in maniera riversa con finalità dolosa e normalizzato in maniera che qualsiasi auditore indipendente possa per conto suo verificare l’autenticità dell’immagine presa e così stabilire una catena di controllo e custodia consistente. Da questo momento già si possono fare copie esattamente uguali dell’immagine con lo scopo che diverse persone possano conservare una copia di sicurezza.

3) Analisi e scoperta di evidenza: si realizzano una serie di prove di laboratorio sulla copia convalidata o immagine. È possibile analizzare e cercare informazione a molti diversi livelli. Partiamo dalla base che l’utente sotto sospetto di un’attività illecita può avere cancellato l’informazione che lo compromette o può averla nascosta immagazzinandola in maniera codificata o per mezzi non convenzionali. Queste ricerche sono orientate per ogni caso in particolare e qui ci basiamo sull’informazione fornita da chi chiede il servizio. Si possono cercare:

·        archivi cancellati, creati, letti o modificati dentro di una certa fascia di date, 

·        tipi d’archivi con un formato particolare che siano stati alterati, per esempio archivi di un sistema di contabilità rinominati come archivi di un word processor, 

·        immagini, messaggi di posta elettronica, attività sviluppata su Internet,

·        a diversi livelli parole chiavi tali come un numero di telefono, il nome di una città, una ditta, ecc. 

      In conformità a quest’analisi si determina una linea di comportamento dell’utente riguardo la creazione, modifica e cancellazione di messaggi, attività di posta elettronica, ecc. Possiamo per esempio fare una mappa o un istogramma a partire del numero di archivi cancellati o modificati e vedere se in una certa data c’è stata una attività anormale che possa indicare che l’utente voleva cancellare indizi di una qualche attività svolta con il computer.

4) Riassunto: si presenta un riassunto scritto in un linguaggio allo stesso tempo tecnico e chiaro e un CD dove si fa accessibile all’utente non specializzato in un modo sistemato l’evidenza recuperata e sua interpretazione.

Anche se spesso si resta importanza ai passi 1) e 2) e si considera il passo 3) quello specifico dell’Informatica Forense, bisogna considerare che l’evidenza informatica è per definizione fragile e può essere alterata facendo si che la stessa perda validità di fronte a un tribunale.