Che cos'è l'evidenza del computer?
Le prove informatiche sono dati raccolti da un disco rigido del computer e utilizzati nel corso di un'indagine criminale. Poiché è relativamente facile corrompere i dati archiviati su un disco rigido, gli esperti di medicina legale fanno di tutto per proteggere e proteggere i computer che vengono sequestrati durante il processo investigativo. L'estrazione dei dati deve avvenire in circostanze altamente controllate e deve essere eseguita da professionisti delle forze dell'ordine specificamente formati nel processo.
Non è insolito che i computer vengano raccolti ogni volta che vengono trovati sulla scena del crimine. Ad esempio, quando un individuo viene trovato assassinato a casa sua, ci sono buone probabilità che qualsiasi laptop o desktop trovato sulla scena venga confiscato. Allo stesso modo, se un individuo viene arrestato per sospetto di un tipo di frode o appropriazione indebita, è probabile che i suoi computer personali e di lavoro vengano raccolti per essere analizzati da esperti.
Il processo di ricerca di prove informatiche inizia con una revisione approfondita di tutti i file presenti sul disco rigido. A tale scopo, il disco rigido viene accuratamente selezionato per eventuali file nascosti o protetti che potrebbero non essere prontamente evidenti. Poiché i dischi rigidi salvano copie dei file che vengono eliminati dalle directory pubbliche, gli esperti coinvolti nell'indagine forense cercheranno di individuare ed estrarre i file che sono stati eliminati. Questo è importante, poiché esiste la possibilità che includano dati che potrebbero confermare la colpa o eventualmente fornire la prova che la persona arrestata non è stata coinvolta nella commissione del crimine.
Molti diversi tipi di file possono fornire prove informatiche che possono aiutare a risolvere un crimine. Immagini visive, e-mail, fogli di calcolo e altri tipi comuni di file possono essere crittografati e nascosti in varie cache sul disco rigido. Gli esperti sanno come trovare queste cache nascoste, accedervi e visualizzare il contenuto di quelle cache. Molti sistemi operativi eseguono automaticamente questa funzione anche quando i file vengono eliminati, creando copie che vengono inserite nelle cache nascoste. Ciò significa che anche se il criminale ha preso provvedimenti per cancellare prove incriminanti dal disco rigido, ci sono buone probabilità che una o più di queste cache nascoste vengano ignorate e possano essere estratte dalle forze dell'ordine.
La raccolta di prove informatiche è un'attività altamente qualificata che di solito viene condotta in passaggi specifici. Una volta confiscato, il computer viene trasportato in un sito sicuro. Solo un numero limitato di persone autorizzate ha accesso al sistema mentre viene estratto per possibili prove. Poiché il mining e l'estrazione sono condotti in condizioni così rigorose, è praticamente impossibile manomettere il disco rigido. Ciò rende possibile che qualsiasi prova raccolta sia utile nelle indagini in corso.
L'uso di prove informatiche in tribunale ha ottenuto una maggiore accettazione negli ultimi anni. Le preoccupazioni in merito a manomissioni o danni alle prove negli anni passati a volte hanno portato a restrizioni sulla quantità di prove raccolte dai computer su un determinato caso. Tuttavia, poiché le forze dell'ordine hanno migliorato i suoi metodi per preservare e proteggere i dischi rigidi da possibili contaminazioni, un numero maggiore di sistemi legali in tutto il mondo sta vedendo le prove informatiche come pienamente ammissibili in un tribunale.