![\"\"](\"https://peritoinformaticocatania.com/wp-content/uploads/2020/10/cyber-security-bologna-960x750-1.jpg\")
Il Metodo adottato dal CT è il Metodo Scientifico del quale si precisano alcuni punti importanti tenuti in grande riguardo:
- Le proposizioni logiche, alle quali viene richiesto di attribuire una costante logica (vero, falso), sono applicate in ambiti ristretti come in quello della linguistica, dei linguaggi di programmazione, della ontologia informatica, della insiemistica, della matematica e più in generale ove è possibile rispondere con certezza usando una operazione di confronto, di accertamento della esistenza, un ragionamento deduttivo o induttivo.
- Il concetto di certezza, associato per convenzione alle costanti logiche vero o falso, dipende dalla corretta definizione di un test logico e dalla possibilità che tale test si possa applicare ai dati in esame. Per tale ragione si ritiene corretto rispondere con certezza a quesiti come: “ il numero di telefono dello smartphone dell’indagato è uguale a quello riportato negli atti di indagine”?
Non è corretto rispondere con certezza a quesiti come: “il messaggio di errore SD Card Error, significa che l’utente ha rimosso la scheda dallo SmartPhone?”.
Nel primo caso infatti il confronto per uguaglianza tra due numeri è possibile e la risposta può essere solo Vero o Falso. Nel secondo caso non è invece possibile stabilire una correlazione certa, uno ad uno, tra un messaggio generico di sistema ed un fatto accaduto nel mondo reale, a meno di prove di laboratorio che forniranno un dato statistico e circoscritto a condizioni ben precisate.
- Si deve distinguere probabilità da possibilità di un evento: un evento che si verifica e si può osservare è probabile altrimenti è possibile in teoria (o in potenza). Ad esempio è possibile che il sole possa esplodere ma nessuno oggi se ne preoccuperà perché è un evento non probabile.
- Un evento potrebbe essere possibile o probabile anche in base ad una congettura a priori.
- Quando la probabilità di un evento, ad esempio numerico, dipende dalla complessità computazionale della funzione matematica che lo genera, potremmo dover decidere se usare il termine possibile o probabile.
o Al crescere della complessità computazionale, un evento matematico come il risultato di una funzione di calcolo potrebbe passare da probabile a non probabile ma in teoria possibile. Nella scienza forense è il caso dei codici Hash delle copie forensi; Al crescere della complessità matematica scelta nel calcolo (MD5→SHA1→SHA256) oggigiorno possiamo dire, con differente grado di certezza, che “due files A e B hanno lo stesso identico contenuto se e solo se hanno lo stesso codice Hash”. Sappiamo infatti che:
- È davvero poco probabile che nel mondo reale si possano trovare due file differenti con uguale codice MD5 data la elevata complessità di calcolo.
- È davvero altamente improbabile che si possano trovare due file differenti con uguale codice SHA1, data la elevatissima complessità.
- È certamente non probabile che si possano trovare due file differenti con uguale codice SHA256, data la estremamente elevata complessità.
- L’Euristica è parte dell\’epistemologia moderna e quindi del metodo scientifico; l’approccio euristico è utile ad esempio quando le evidenze da analizzare non trovano precise e complete spiegazioni nella letteratura ufficiale ed è quindi necessario approcciare empiricamente seguendo più percorsi, anche intuitivamente, al fine di generare nuova conoscenza. Il ragionamento inferenziale, nel caso dell’euristica, include il metodo abduttivo con il quale è possibile raccogliere il frutto di una analisi iniziale e concentrarlo in una deduzione (o ipotesi investigativa), cioè una affermazione privata la cui validità non è ancora scientifica perché deve essere dimostrata, ad esempio con ragionati e successivi esperimenti di laboratorio. In sostanza, una qualsiasi congettura deduttiva non dimostrata rimane scienza privata, ed è vietata .
Le credenze antiscientifiche sono nemiche della Giustizia.
DEDUZIONE
Con la deduzione dalla regola generale è possibile prevedere un risultato partendo da un caso specifico:
Regola=”i numeri pari sono divisibili per 2 in modo intero”; Caso in esame=”4 è un numero pari”.
Risultato predittivo o risposta al quesito: “4 è divisibile per due in modo intero”.
INDUZIONE
Con la deduzione dalla regola generale è possibile prevedere una regola generale partendo da una successione di Casi: ”2 è pari, 2+2 è pari, 2+2+2 è ancora pari”.
Risultato predittivo: “10 è pari”;
Regola:”un numero pari si può ottenere aggiungendo a 2 n volte 2 con n numero intero”.
Oppure
Devo valutare una evidenza (ho trovato il messaggio M sospetto, nello smartphone S). Effettuo dei laboratori su tutti gli smartphone del tipo S, nuovi ed usati e riscontro che tutti quanti generano il messaggio M). Consulto la documentazione ufficiale e formulo la regola del tipo “tutti gi smartphone del tipo S, in qualsiasi condizione di utilizzo generano il Messaggio M”. Il risultato predittivo sarà: Il messaggio M (sospetto) trovato nello smartphone S non può essere attribuito all’indagato in quanto viene generato in modo automatico in ogni dispositivo di quel tipo.
ABDUZIONE
- Lo scienziato Peirce sosteneva che senza abduzione non si può fare alcun passo avanti nella scienza. L’abduzione è utile per ipotizzare somiglianze:
- con ciò che ci aspettiamo sia somigliante
- con ciò che non ci aspetteremmo sia somigliante
- con ciò che ancora non conosciamo
- Attenzione: i metodi deduttivo, induttivo e abduttivo possono essere applicati a dati validi ovvero artefatti, con risultati opposti nella risposta al quesito peritale. Per questa ragione non basta che un file esista e sia stato acquisito in modalità di copia forense: è necessario che tale file, prima di essere valutato rispetto al quesito peritale sia categorizzato tramite una verifica ontologica per riscontrarne eventuali artefazioni o falsificazioni
REPERTO→COPIA FORENSE→FILE→VALIDAZIONE ONTOLOGICA→ANALISI
La verifica ontologica è tuttavia molto laboriosa e dovrebbe essere limitata ai files più importanti.
- La statistica viene usata nel perfezionare la lettura dei dati, ad esempio nella ricerca di indici di frequenza o di correlazione tra vari set di dati.
- La statistica inferenziale si esprime nella applicazione di tecniche predittive ad esempio il test delle ipotesi o della ipotesi nulla il quale è di grande aiuto per produrre osservazioni di valore scientifico.
- Le prove di laboratorio vengono aggiunte laddove necessarie, ad esempio per verificare una ipotesi.
- Gli strumenti usati nei laboratori dovrebbero essere testati su dati di prova. I risultati di ricerche automatiche o calcoli predittivi devono essere supervisionati per la individuazione dei falsi positivi o falsi negativi
I software forensi Mobiledit, FTK Imager sono stato verificati nei laboratori di computer e mobile
forensics del il National Institute of Standards and
CUSTODIA
La catena di custodia dei reperti è stata rispettata a partire dal giorno del prelievo del reperto sino al momento della sua restituzione. La protezione è stata rafforzata utilizzando la cassaforte ignifuga del CTP: i media digitali sono stati prelevati dal luogo di deposito sicuro solo per poter eseguire le operazioni peritali.
L’ambiente che ospita la cassaforte ed i computer usati nella consulenza è video sorvegliato da un impianto di ultima generazione, di alta qualità costruttiva, collegato 24h/24h con notifiche realtime via smartphone. La riproduzione dei codici Hash nella relazione tecnica (già presenti nel MEDIA allegato alla relazione tecnica) sigilla la catena di custodia con un robusto e semplice criterio di verifica della originalità dei dati.
[contact-form-7 id=\”298\” title=\”Modulo di contatto 1\”]