Ci sono enormi differenze tra uno specialista del recupero dati e un esperto di computer forensics, ma in realtà hanno anche molti aspetti in comune. Entrambi cercano dati che non sono accessibili a causa di un danneggiamento o dell'iniziativa personale di qualcuno.
L'esperto di recupero dati riceve un supporto di storage dal cliente (nel caso di unità RAID più grandi, potrebbe aver bisogno di lavorare via Internet o direttamente on-site) con una richiesta di recuperare i dati perduti. Il primo passo è quello di effettuare un'analisi (valutazione gratuita) per scoprire le possibilità di successo del recupero. Dopo aver effettuato questa operazione, è possibile dire se i dati possono essere recuperati e a quale prezzo. Grazie ad un dettagliato report di diagnostica, è possibile avere un elenco completo dei file recuperabili con il relativo stato.
Se il cliente conferma l’intenzione di procedere al recupero dati, si parte con il lavoro vero e proprio. A seconda di ciò che ha causato la perdita di dati e del supporto di storage coinvolto, cambia il modo in cui le informazioni vengono recuperate. Inoltre, è possibile eliminare il danno hardware cambiando il componente interessato. Ripristinare il supporto di storage è relativamente semplice: i professionisti del recupero dati non solo hanno a disposizione un'ampia gamma di controller e testine di lettura/scrittura, ma hanno anche eccellenti contatti con i maggiori produttori mondiali.
Gli SSD possono essere problematici, così come gli HDD
Con gli SSD, tuttavia, non è sempre semplice riuscire a sostituire un componente hardware con uno della stessa serie, dato che i produttori hanno utilizzato diversi hardware per questo tipo di supporto storage. Se è necessario aprire un HDD per accedere ai dischi di storage, questa operazione deve essere effettuata nella cosiddetta camera bianca o clean room. Sulle piastre non dovrebbe posarsi nemmeno la più piccola piccola particella di polvere, altrimenti questo minuscolo pezzo di materiale si troverebbe tra il disco a rotazione rapida e la testina di lettura/scrittura, graffiando la superficie e distruggendo i dati. Facciamo un confronto: se la testina di lettura/scrittura fosse un Airbus, viaggerebbe a tutta velocità ad un'altezza di un metro da terra. Un granello di polvere avrebbe le dimensioni di un grosso masso roccioso...
Un esperto di recupero dati deve essere in grado di gestire un gran numero di programmi e, in parte, di strumenti sviluppati in proprio. Questo perché, anche dal punto di vista del software, si possono riscontrare dei problemi, che devono essere affrontati: sia che si tratti dei metadati corrotti o di false informazioni di basso livello, necessarie per operazioni di base sui dischi. Tutto ciò diventa un problema nel caso di un SSD con un controller di crittografia. Se non è disponibile la chiave necessaria, il professionista di DR non è generalmente in grado di recuperare i dati.
Normalmente, l'esperto di recupero dati si trova in una posizione meno scomoda rispetto all’esperto di computer forensics perchè generalmente i clienti che desiderano recuperare i dati sono estremamente collaborativi ed è loro interesse fornire il maggior numero di informazioni per accedere ai dati. Quando invece c’è di mezzo un qualche tipo di reato, la situazione si capovolge: a volte situazione non è in genere così semplice. In questo caso, inoltre, è necessario utilizzare talvolta un metodo è necessario operare da hacker per ottenere l'accesso al supporto di storage. In aggiunta ai metodi utilizzati dall'esperto di recupero dati, che alla fine non è interessato al contenuto dei dati salvati, lo scienziato forense deve anche condurre un'indagine strutturata, documentando le prove in modo da consentire al tribunale di determinare cosa è accaduto su un sistema IT e chi ne è responsabile. Per esempio, il report di un esperto forense in ambito IT potrebbe includere: informazioni sull'identità del criminale, il periodo e l'estensione del reato, informazioni riguardanti il movente e l'esecuzione del reato stesso.
Come diventare un cyber forensics expert?
In molti Paesi europei e americani sono già disponibil numerosi corsi di informatica forense presso università e college o perfino percorsi che durano interi semestri in questo campo come parte del dipartimento IT dell'istituto di formazione. Anche se si tratta di un ruolo altamente tecnico, i principianti in questo campo devono avere almeno una laurea in Informatica o Ingegneria con una particolare specializzazione in cybersicurezza, scienza digitale forense o un campo correlato. Tuttavia, alcuni degli esperti che lavorano in questo ambito, provengono dalle forze dell'ordine (ufficiali di polizia ecc.) e hanno già avuto contatti con il crimine informatico.
Nei casi giudiziari, un esperto forense deve essere in grado di agire come un revisore, il che include l'essere in grado di descrivere chiaramente il proprio lavoro. Tuttavia, la legge in genere non c'entra con le società che cercano aiuto. Di norma, per prima cosa vengono verificati i requisiti di sicurezza del reparto IT e poi vengono ottimizzati.
Gli attuali esperti di informatica forense si sono dedicati a questo campo per lo più dopo un cambio di carriera rispetto alla loro professione originale. Molti hanno dato la caccia agli hacker quando ancora erano degli studenti, un'attività che non sono riusciti ad abbandonare. Un esperto di cyber forensics deve essere in grado di prevedere e cercare vie alternative, deve scoprire dei modelli in enormi quantità di codici ed essere creativo.
Concludendo, chi si occupa di sicurezza oggigiorno afferma “Quello di cui abbiamo bisogno sono artisti!”.