INFORMATICA - DIGITAL FORENSICS
Fisica delle prove digitali

"le prove digitali sono come le altre prove scientifiche?"

Ottobre 2016

Esiste una fisica della materia e sicuramente una dell'energia, ma nessuna delle due riesce a trattare esaustivamente le prove digitali per cui, basandomi sugli articoli [68] e [69] di Fred Cohen, introduco la fisica delle informazioni digitali applicata alla Digital forensics:

Immaterialità: le prove digitali sono dati digitali e come tali sussistono come entità a prescindere dal supporto di memoria che li ospita, sebbene almeno un supporto materiale (ad oggi) sia necessario per la loro esistenza. In ogni caso il supporto materiale è un mero contenitore e non caratterizza il dato in sè.

Granularità finita del dato: non importa di quali prove digitali si stia parlando, esse possono sempre ridursi ad un insieme ordinato di bit. La discretizzazione dell'informazione è quindi sempre dovuta e sotto il bit, come granularità, non si può andare.

Granularità finita del tempo: il supporto materiale di memoria che ospita la prova digitale è sicuramente (ad oggi), un sistema digitale sincrono a stati finiti con un "clock" che detta una certa frequenza di lavoro F. Quindi anche il tempo risulta discretizzato (non si possono considerare istanti intermedi in un periodo T = 1/F) e non si possono considerare meta-dati temporali di precisione maggiore di quella relativa a T.

Osservabilità assoluta: mentre per materia ed energia non è possibile compiere delle osservazioni senza alterare il target dell'osservazione stessa, questo risulta possibile per la prova digitale che, in linea di principio, è osservabile interamente senza che ci siano alterazioni (a patto ovviamente di aver provveduto alla cristallizzazione della fonte).

Numero intero e copia perfetta: data la proprietà di granularità del dato e l'osservabilità assoluta, la prova digitale consiste sempre in un numero intero (grande a piacere) che si può quindi copiare perfettamente (i numeri interi possono essere riprodotti in maniera perfetta una volta riconosciuti).

Nesso di causalità in un solo verso: le prove digitali, essendo dati digitali, devono provenire per definizione da una macchina sincrona deterministica a stati finiti per cui, considerato lo stato iniziale e riprodotte tutte le condizioni (digitali) che hanno determinato i dati in questione, essi si possono ricostruire perfettamente. Non è vero il viceversa, ossia data una prova digitale non è possibile ricondursi sempre e con esattezza: allo stato iniziale che l'ha determinata, alle condizioni che durante il processo hanno contribuito a determinarla, alla macchina che ha ottenuti i relativi dati mediante una qualche forma di elaborazione.

Velocità di trasferimento: le prove digitali si possono trasmettere, copiare, leggere, ecc. ma solo in maniera discreta, ossia per passi successivi e ad una velocità non superiore alla frequenza F prima citata. Non esiste un flusso continuo (nel senso di continuo spazio-tempo normalmente inteso nella fisica) di bit ma solo un flusso discreto di dati discretizzati (i bit appunto). E non può esistere un trasferimento istantaneo, che avvenga cioè in un tempo di durata 0.

Provenienza digitale: le prove digitali possono essere generate solo da sistemi digitali. Non è concepibile una loro provenienza "naturale" come la si può pensare per un "frutto di bosco". Le prove digitali sono sicuramente artificiali ed hanno richiesto, in un passato, sicuramente una qualche forma di elaborazione.

Originale e Riproduzione: una prova digitale è sempre riconducibile ad un numero intero (grande a piacere) per cui non si può distinguere tra un originale ed una riproduzione di essa. Senza informazioni aggiuntive si tratterebbe, infatti, di due numeri interi identici.

Reperto, Campione, Referto: il reperto, per prove digitali, può essere sia materiale (es. uno smartphone) che immateriale (es. un file). Il campione, ossia quello che si può estrarre dal reperto per considerarlo nelle analisi forensi è già prova digitale in se stessa e quindi immateriale. Il referto, ossia la descrizione delle analisi forensi svolte e dei risultati conseguiti è anch'esso, oggi, un documento digitale e quindi immateriale e dopotutto non difforme, come entità, dalla prova digitale stessa. Quando, ad esempio, si analizza un cloud-storage: reperto, campione e referto costituiscono insieme solo una grande stringa di bit.