È una figura esperta di crimini informatici che lavora nella scienza digitale forense e che, di conseguenza, affonda anche nella cyber security. Quella del Forensics expert è una professione nata negli anni Ottanta del secolo scorso e che, con il passare degli anni e con l’avanzare delle tecnologie, ha cambiato pelle fino a diventare capitale anche nella lotta tra cyber crimine e cyber difesa.
Un ruolo che racchiude più di una capacità e il fatto che i percorsi di studio specifici per diventare Forensics expert siano ancora relativamente pochi la dice lunga: le conoscenze che deve avere sono trasversali e, come vedremo, includono anche soft skill che non si possono insegnare o apprendere. Su tutte, l’intuito e il fiuto.
Indice degli argomenti
Introduzione alla professione del Forensics expert
Un investigatore prestato alla tecnologia. Questa definizione, più che perfettibile, fa storcere il naso a chi ricopre il ruolo del Forensics expert (informatico forense in italiano) perché non è professione che può essere circoscritta con facilità.
Per sua natura è una figura esperta di crimini informatici e questo aspetto ne fa, nel medesimo tempo, un ruolo affine anche alla cyber security. Il Forensics expert, al contrario dell’iconografia cinematografica, non è solo colui o colei che si presta al buon esito di un processo, è una figura professionale che trova collocamento in quelle organizzazioni (pubbliche e private) che mirano a comprendere le matrici degli attacchi hacker. Si pensi, per esempio, all’hacking di Stato che ha in sé matrici politico-ideologiche ma rappresenta anche una ferita inferta ai rapporti tra Paesi se non persino una dichiarazione di guerra.
Chi è il Forensics expert: definizione e ruolo
Considerando che il Forensics expert si muove nel mondo delle prove digitali a prescindere dal fatto che queste servano o meno in ambito processuale, tra i suoi compiti principali figurano:
- L’identificazione degli elementi che inducono a dedurre che sussiste un reato
- L’acquisizione dei dati che risultano dal processo di identificazione
- La conservazione dei dati per garantire che non vengano modificati
Fitte attività che riguardano i dispositivi fissi e mobili ma che si estendono anche ai servizi di messaggistica e a tutte le tecnologie che possono fornire prove digitali (sistemi operativi, software specifici e persino console per videogiochi.
Campo d’azione: dove lavora un Forensics expert
Se ci si limita a considerare il Forensics expert come professionista che supporta gli investigatori e tutto l’apparato della giustizia, diventa lecito sostenere che può lavorare per agenzie di investigazione, società di assicurazioni o presso aziende di consulenza.
Quando si entra nell’accezione del Forensics expert al servizio di governi ed emanazioni degli Stati, allora trova lavoro soprattutto nel settore pubblico, tra le fila dei servizi per la tutela dello Stato nel suo senso letterale (cittadini, istituzioni e territorio) e quindi anche nelle forze dell’ordine.
Un Forensics expert può anche essere un libero professionista e offrirsi a una platea ampia di clienti.
L’importanza del Forensics expert
L’importanza del Forensics expert non è da ricercare soltanto in ambito digitale, perché si palesa nella Costituzione – specificatamente all’articolo 111 – laddove vengono delineate la correttezza e la trasparenza delle procedure giudiziarie.
Il lavoro di indagine tipico del Forensics expert è un vantaggio per le autorità giudiziarie ma deve essere svolto con dovizia e nel pieno rispetto delle norme le quali, se violate, segnano un punto a favore dell’imputato in un processo, così come lo segnano un’errata conservazione dei dati acquisiti.
Laddove un procedimento giudiziario fa leva sulle prove digitali, il lavoro del Forensics expert è letteralmente l’ago della bilancia che può inchiodare gli autori di un reato oppure – in virtù del diritto di difesa e il giusto processo così come intesi dalla Costituzione in primis e, a cascata, dai codici di procedura – aiutarli involontariamente a rendere la loro posizione meno delicata.
Competenze richieste per diventare Forensics expert
Sono molte e, come è lecito attendersi, non sono tutte afferenti alle tecnologie. Infatti, il Forensics Expert deve sapersi muovere con facilità anche tra le norme e le procedure giuridiche, oltre ad avere un’approfondita nozione dell’etica.
In ambito tecnologico deve avere conoscenze approfondite in crittografia, data science, cyber security, infrastrutture IT, sistemi operativi e linguaggi di programmazione.
Capacità investigative e di problem solving
Sono l’anima della professione del Forensics expert e fanno da collante alle capacità tecnologiche. Un conto è raccogliere informazioni (che, di fatto, sono dati), altro paio di maniche è riuscire a collegarle tra loro affinché abbiano una logica nel quadro di un’indagine e portino a elementi probatori utilizzabili in un’aula di tribunale o che, a prescindere, conducano all’identificazione senza dubbi degli attori che hanno commesso reati.
Tuttavia, non sempre le informazioni sono facilmente reperibili – si pensi alla necessità di bypassare protocolli crittografici – il Forensics expert deve fare ricorso alle proprie doti di problem solving che, nel caso specifico, vanno a braccetto con quelle investigative.
Familiarità con i linguaggi di programmazione
Il Forensics expert deve muoversi con disinvoltura tra diversi linguaggi di programmazione, non solo i più comuni, tra i quali figurano Python, PHP, Java o Bash. Il motivo è riconducibile al corretto svolgimento di tutto quanto rientra nelle sue mansioni le quali, tra le altre, includono:
- Lo sviluppo di script utili alle analisi forensi
- L’analisi di porzioni di codice malevolo e delle tecniche utilizzate dagli hacker per sferrare gli attacchi
- L’automazione dei compiti ripetitivi in fase di indagine
Da qui nasce anche la necessità che il Forensics expert abbia conoscenze in ambito di data science.
Capacità di data analysis
Sono diverse le attività di indagine che richiedono il ricorso all’analisi dei dati. Le principali sono:
- L’uso di tecniche di machine learning e di data mining per estrarre i dati utili alle indagini
- Il ricorso al machine learning per comprendere come gli hacker ne hanno fatto uso per perpetrare le offensive
- La ricostruzione della sequenza in cui gli eventi si sono svolti, anche esaminando grandi quantità di dati provenienti da un numero imprecisato di dispositivi o database
- Trovare modelli, anomalie e collegamenti tra i dati estratti dai dispositivi oggetto delle indagini.
Non di meno, per rendere più leggibili situazioni complesse, ricorrere alla data visualization aiuta il Forensics expert a fornire spiegazioni dettagliate a tutte le parti coinvolte in un procedimento giuridico o all’indagine in quanto tale.
Strumenti e tecniche che un Forensics expert dovrebbe conoscere
Oltre alle discipline e alle conoscenze elencate sopra, un Forensics expert deve sapere usare i tool tipici del settore. I più diffusi sono software e framework specifici:
- SANS Investigative Forensics Toolkit (SIFT)
- Volatility
- EnCase, per analizzare immagini di dispositivi elettronici
- Wireshark, per analizzare i pacchetti di rete
- Sleuth Kit, set di strumenti open source per l’analisi forense
- Computer Online Forensic Evidence Extractor (COFEE), specifico per gli ambienti Windows
Gioca un peso specifico anche la normativa che, in modo più o meno diretto, delinea e circoscrive l’operato del Forensics Expert.
La legge 48/2008
È la legge che ha recepito la Convenzione di Budapest sulla criminalità informatica e che riconosce i principi dell’informatica forense e che pone dei paletti nella gestione delle prove digitali. Pure non entrando nel merito delle modalità di esecuzione a cui il Forensics expert deve porre attenzione, la legge 48/2008 mette l’accento sulla procedura per la copia dei dati e sui principi di integrità e non alterabilità dei dati acquisiti durante le indagini.
La catena di custodia
È un tema vasto che va al di là della raccolta dei dispositivi e dei dati che questi contengono e risponde all’esigenza di conservarne l’autenticità, che deve essere garantita affinché le prove acquisite abbiano valore probatorio.
Se ridotta all’essenziale, la catena di custodia è la documentazione cronologica che illustra come i reperti sono stati trattati nell’iter che va dalla loro acquisizione all’esibizione in tribunale.
Ne va dell’integrità e quindi dell’attendibilità delle prove raccolte e riguarda sia la copia forense (da considerare quella originale) sia le altre copie che possono essere state prodotte o estratte da quella originale.
Il principio è quello dell’immodificabilità che, nell’ambito delle scienze forensi digitali, si traduce in un documento nel quale vengono elencate le operazioni svolte indicando quando e chi le ha effettuate, in che modo e in che luogo la custodia è stata esercitata. Non si tratta di un mero sigillo ma di una procedura articolata.
Comprendere la funzione di hash
Quando si ottiene una copia forense, come detto, occorre impedire che questa sia oggetto di alterazioni. Per garantirne l’autenticità si procede con il calcolo della funzione di hash che ne certifica la veridicità.
La funzione di hash è un algoritmo che riduce a una stringa di lunghezza fissa un documento che, per sua natura, ha una lunghezza arbitraria. Il valore di hash, altrimenti noto con il nome di checksum crittografico, è di fatto l’impronta univoca che identifica il documento stesso e che consente di verificare che questo non sia stato modificato.
L’uso della crittografia nell’ambito dell’informatica forense
Sono diversi i motivi per i quali la crittografia è il pane del Forensics expert. È fondamentale durante la raccolta delle prove nel caso in cui ci si trovi confrontati con dati criptati così come è di primaria importanza nel momento in cui i dati vengono analizzati.
Non di meno, esaminando le chiavi di crittografia è possibile ricostruire gli accessi a un sistema e le attività che sono state svolte da chi ne ha fatto uso. Allo stesso modo, riuscire a capire come sono crittografati i dati in transito, consente di effettuare analisi dettagliate e approfondite del traffico di rete al fine, per esempio, di rilevare attività sospette.
La crittografia è da intendere di capitale importanza per tutte le professioni che ruotano attorno al concetto di cyber security.
Percorso formativo per diventare Forensics expert
La diffusione del digitale ha cambiato l’offerta di formazione per la professione di Forensics expert. È sempre buona cosa contare su un percorso universitario ma, in alternativa, nascono percorsi di studio somministrati nella formula dell’e-learning che offrono una formazione approfondita alla quale è però opportuno affiancare l’esperienza pratica.
La formazione giuridica
Una laurea in una disciplina scientifico-tecnologica, per quanto auspicata e non necessaria, è complementare a una formazione giuridica. Può essere una formazione tipica dell’ambito legale ma anche aderente ai soli quadri e standard normativi in vigore.
Anche la formazione giuridica deve essere continuamente rinfrescata, come dimostrano i recenti dibattiti che stanno nascendo attorno all’AI forensics utile, per esempio, sia per esaminare grandi moli di dati in tempi ristretti sia per individuare contenuti illegali.
Studi universitari: quali corsi e specializzazioni scegliere
Una laurea in una disciplina STEM (dall’inglese Science, Technology, Engineering and Mathematics) è un buon punto di partenza.
Sono diverse le università che offrono master in Forensics Science, a questo link è possibile consultare una selezione di corsi erogati da atenei americani, anche online.
Non da ultimo, la certificazione Certified Forensic Computer Examiner (CFCE) è tra le più ambite nel settore, al pari della Computer Hacking Forensic Investigator (CHFI).
Carriera e prospettive future per un Forensics expert
È una professione il cui futuro è ancora tutto da scrivere e diventerà sempre più centrale, anche in virtù del crescente numero di crimini informatici perpetrati in ogni dove nel mondo.
Con l’introduzione di nuove tecnologie (droni, AI più evolute, eccetera) cambieranno anche gli strumenti di lavoro del Forensics expert ed è per questo che, al di là degli studi e degli aggiornamenti costanti, è ineludibile la pratica sul campo.
Diverse opportunità nel settore pubblico e privato
Dando un’occhiata al mondo del lavoro in Italia, quella del Forensics expert è una figura per lo più ricercata dalle aziende di consulenza, le quali prestano conoscenza alle organizzazioni pubbliche e private.
Resta la via appetibile dell’attività professionale, ossia il profilo del libero professionista che lavora in proprio e presta la propria opera a qualsiasi tipo di ente o azienda, potendo anche contare sulle perizie indipendenti disposte dai tribunali.
Compensi attesi e crescita professionale
Al di là dell’Oceano le retribuzioni medie sfiorano i 120mila dollari l’anno (110mila euro circa), in Italia le cifre sono di difficile interpretazione. Va anche detto che, cercando tra gli annunci di lavoro online, vengono restituiti risultati poco afferenti alla professione del Forensics expert, il cui ruolo deve ancora affermarsi e, di conseguenza, ha delle possibilità di carriera ancora in divenire.
Se ci si limita alle consulenze prestate al sistema giuridico nazionale, le retribuzioni oscillano dagli 80 euro orari ai 250 euro l’ora.
