Senza catena di custodia, la prova digitale può essere contestata e perdere valore probatorio.
Contesto e Teoria
La catena di custodia è la documentazione continua di ogni accesso, movimento e trasformazione della prova, dal sequestro alla presentazione in giudizio.
Svolgimento Tecnico
Registrare chi, cosa, quando, dove, perché e come di ogni passaggio.
Usare moduli standard, versionamento e controllo degli accessi.
Immagini forensi firmate (hash) e verifica periodica.
Errori comuni: buchi temporali, assenza di firme, supporti non sigillati.
Strumenti Utili
hashdeep, sha256sum (liberi): per impronte e verifiche.
Magneto di log con sistemi liberi (es. ELK stack auto-ospitato) per accessi e audit.
Simple CMDB / tracciamento inventario (libero) per asset e movimenti.
Caso Pratico
Un’unità USB sequestrata viene inventariata, sigillata e clonata. Ogni passaggio è registrato; a distanza di mesi l’hash combacia: la prova è integra.
Riferimenti e Risorse Esterne
Modelli di catena di custodia e linee guida di laboratori forensi.
Raccomandazioni su hashing, sealing e storage sicuro.
Conclusione
Documentazione e integrità sono inseparabili. Domani: norme e leggi di riferimento.