Il campo della materia Digital Forensic è tanto vasto quanto interessante: l'attività Forense è primariamente attuata, sotto commissionamento di un Tribunale, ad opera di Periti, al fine di recuperare indizi e prove utili a dimostrare o smentire un'ipotesi di reato in corso di indagini preliminari o approfondimenti; è inoltre messa in atto da Agenzie di investigazione private, sorveglianza e recupero dati. In quest'ultimo caso si fa uso della cosiddetta Camera Bianca, ovvero una stanza asettica ove vengono posti gli HDD e tutti i supporti di memoria ottica da sottoporre ad analisi per l'attività di data recovery, accedendo a files ormai dati per distrutti o persi definitivamente, di cui restano talvolta tracce sufficienti a ricostruirli almeno parzialmente, o recuperarli interamente rendendoli nuovamente apribili e leggibili da un PC e in e in linguaggio umano. In questa stanza non dev'essere presente nemmeno un granello di polvere, poiché potrebbe comprmettere definitivamente il disco, rigandolo anche in modo lieve e in superficie e vi si opera con guanti ed il resto dell'abbigliamento e accessori necessari a preservare la corretta funzionalità del supporto che si sta esaminando.
In sede giuridica, invece, si inizia con il processo di Identificazione (digital evidence) e in seguito tramite Acquisizione, che dev'essere accurata ed affidabile e completa, priva di errori e verificabile da altri Periti o investigatori; successivamente si procede alla fase di Archiviazione, doverosamente condotta nella certezza di mantenere l'integrità dei dati, che altrimenti non sarebbero validi legalmente, in fase di processo e, per questo, si è stabilito come standard che la copia forense dei dati archiviati deve avere il formato EWF (Express Witness Forma). Infine, vi è la fase di Recupero Dati, ovvero il ripristino di tutti i files cancellati superficialmente, tracce di vecchia data sovrascritte, documenti e archivi protetti da password e tutto ciò che può essere utile in fase di decisione finale.
Il tutto dev'essere accuratamente documentato, stilando una relazione per ogni fase circa le attività che si vanno ad eseguire, associate ai nominativi dei professionisti coinvolti nelle indagini, al fine di preservare la Catena di Custodia e quindi il valore forense dei dati acquisiti ed archiviati, che vengono poi studiati nell'apposita fase di Analisi, nella quale si passano in rassegna anche i dati Hardware di registro del dispositivo, dati di memoria, cronologia di varie applicazioni e dati sull'uso generale del dispositivo.
Al fine di preservare l'immodificabilità dei dati durante la visualizzazione, per mantenere il valore probatori di essi, è d'ausilio la tecnologia chiamata Write Block, che consente di analizzare il contenuto di un Hard Disk, o di qualsiasi altro supporto di memoria, senza che possano esserne modificati i files; in genere, tuttavia, se non vi sono particolari indicazioni che non ne consentono l'operatività, si lavora su una copia dei dati precedentemente acquisita nella sua interezza, così da non apportare modifiche random accidentali sull'originale.
L'indagine viene conclusa quindi con la consegna del plico intero di informazioni raccolte alle autorità competenti, come PM, GIP, Legali specifici ed altre figure addette alla supervisione del caso.
La Legge italiana che regolamenta l'attività forense è la nr. 48 del 18/03/2008, su base della normativa europea stabilita a Budapest dal Consiglio Europeo sulla criminalità informatica, del 2001. E' inoltre presente la relativa circolare denominata Manuale operativo in materia di contrasto all'evasione e alle frodi fiscali, datata 4 dicembre 2017, di competenza della Guardia di Finanza, che dispone di apposito Nucleo anti-frode economico-finanziaria digitale e per la tutela della privacy in rete (NSTPFT), addetto al controllo della pirateria, delle truffe finanziarie che avvengono tramite l'uso di strumenti digitali, elettronici e informatici, che opera tramite specialisti in possesso della certificazione CFDA (Computer Forensic e Data Analysis), specifica degli operatori del suddetto nucleo della GdF, la cui attività degli agenti che la detengono è regolamentata nella prima parte del suddetto manuale, mentre nel secondo volume, ultimo della serie, viene descritta minuziosamente l'attività di ricerca e analisi di dati in fase di raccolta ed elaborazione, in base a come deve avvenire nel rispetto delle normative vigenti. L'articolo che disciplina l'attività di supporto di Periti e consulenti esterni di cui può avvalersi un PM (e la Magistratura) è l'articolo nr. 359, corredato dal 220, entrambi appartenenti al Codice Penale.
I tools forensi più diffusi in ambito Hardware e Software sono i seguenti e come prezzi si aggirano tra i 1.500€ e i 3.500€:
Cellebrite UFED 4PC
Permette l'estrazione dati tramite USB, RJ45, modulo Bluetooth integrato, adattatore Ultimate per il collegamento hardware a software anche di terze parti, applicazione Physical Analyzer per la decodifica, analisi e generazione di rapporti, Phone Detective parte applicativa per l'esaminazione, recupero dati e clonazione di dispositivi mobili, Reader applicativo che consente una lettura facilitata e ricerca approfondita, con possibilità di condivisione col team forense; la soluzione offre diversi vantaggi, tra cui: strumenti per estrazione fisica, logica e di sistema; bypass di blocco schermo, PIN, password e impronta digitale di dispositivi Android, tra i quali sono supportati quasi tutti i modelli Samsung Galaxy, HTC, Motorola, Nokia, dispsitivi BlackBerry che operano con OS 4-7, supporto dispositivi Apple iOS.
Interessanti anche le soluzioni hardware dotate di suite forense in versione Rugged Tablet/Laptop e Workstation, per lavorare su flussi di dati di portata elevata.
Tableau TD2u
E' un duplicatore forense, ovvero un dispositivo che consente di ricevere in ingresso un HDD o altri supporti di memoria e crearne una copia identica su un disco di destinazione, scrivendo settore per settore e i dati di ogni partizione. Esso supporta connessioni USB 2.0 e 3.0, SATA, IDE/PATA storage devices e permette di aggirare i blocchi dei supporti di memoria, leggere partizioni criptate tramite modulo di supporto basato su VeraCrypt e codificare i risultati finali con i più robusti algoritmi di criptazione esistenti. E' dotato di tools per la formattazione dei dischi e supporti di memoria, factory reset, Hash utility, rilevamento e conteggio degli errori presenti, scelta tipo di compressione, verifica dell'immagine finale acquisita, pulizia delle tracce eventualmente lasciate sul disco originale, salvataggio/stampa o condivisione dei logs acquisiti durante la fase di duplicazione della memoria.
Logicube Falcon NEO-2
Si tratta di un duplicatore come il dispositivo precedente, ma è in grado di elaborare e creare una copia identica di un disco più rapidamente, con velocità di 115GB/min per una copia Image E01 da SAS-3 SSD a un altro di destinazione, PCIe to PCIe a 100GB/min, porte USB-A interamente a 10Gbps e supporto SAS-3 a 12Gbps; inoltre, dispone di notevoli capacità multitasking, in quanto acquisisce e duplica immagini provenienti da più supporti in una volta, ovvero fino a 4 sorgenti SAS/SATA in 1 SAS/SATA cable, modulo per l'acquisizione immagine di cattura dei files collocati in cloud storage più comuni, quali: OneDrive, Google Drive e DropBox; funzione Network di cattura del traffico di rete, attività VoIP e internet, con 2 connessioni 10GbE per immagine di network performance; cattura diretta immagine memoria da dispositivi mobili Android smartphone, tablet) e iOS (iPhone, iPad).