Nel marzo 2015 il direttore della CIA John Brennan ha annunciato l'istituzione di una nuova direzione della CIA per l'innovazione digitale, la prima nuova direzione della CIA in circa cinquant'anni. La nuova divisione è stata creata per far progredire le tecniche di medicina legale digitale, un pilastro della scienza forense correlato alle attività di indagine e recupero di dati e metadati (dati sui dati) presenti nei dispositivi digitali e per migliorare la capacità della CIA di rintracciare “Polvere digitale” lasciata alle spalle durante le cyberattività ordinarie. Come ha spiegato Brennan il 28 aprile in un discorso a una cena di leadership dell'Alleanza di intelligence e di sicurezza nazionale, "Ovunque andiamo, tutto ciò che facciamo, lasciamo un po 'di polvere digitale ed è davvero difficile operare clandestinamente, molto meno di nascosto, quando" lasciando polvere digitale sulla tua scia."
Lo scopo principale della digital forensics è la valutazione dello stato di un artefatto digitale che potenzialmente potrebbe essere utilizzato in qualsiasi indagine su un sistema informatico. Usando le tecniche della medicina legale digitale, un investigatore può acquisire prove digitali, analizzarle e riportare i risultati di tale analisi. Lo sviluppo di strumenti forensi digitali e altre tecniche ancora più avanzate dovrebbe consentire ai governi e alle società private di studiare con successo la polvere digitale lasciata da coloro - un sospetto o un'altra persona di interesse - collegati a sospette cyberattività illegali.
Metodologie.
Le metodologie forensi digitali sono applicate in una varietà di situazioni, in particolare dai membri delle forze dell'ordine o da altre autorità ufficiali per raccogliere prove in un procedimento giudiziario penale o civile o da società private per aiutare nel perseguimento di un'indagine interna. Il termine forensics digitale è estremamente generale e può essere utilizzato per caratterizzare numerose specializzazioni, a seconda del particolare campo di indagine. Ad esempio, la medicina legale di rete è correlata all'analisi del traffico di rete del computer, mentre la medicina legale dei dispositivi mobili si occupa principalmente di recuperare prove digitali da smartphone e tablet. Esistono metodologie potenzialmente infinite per la medicina legale digitale, ma le tecniche più comunemente utilizzate includono la ricerca di parole chiave attraverso i media digitali, il recupero di file cancellati, l'analisi di spazio non allocato e l'estrazione di informazioni del registro (ad esempio, utilizzando dispositivi USB collegati).
Quando si tratta di prove digitali, è essenziale garantire che l'integrità e l'autenticità dei dati e dei metadati non siano influenzate durante le fasi dell'indagine. Pertanto, è fondamentale evitare qualsiasi alterazione delle prove causate dal lavoro degli investigatori e garantire che i dati raccolti siano "autentici", cioè identici in ogni modo alle informazioni originali. Sebbene i combattenti per il crimine informatico nei film e in televisione possano identificare in modo intelligente la password di una persona di interesse e quindi accedere direttamente al computer del bersaglio o ad altri dispositivi intelligenti, nel mondo reale tale azione diretta potrebbe alterare l'originale in modo tale da trovare qualsiasi cosa trovata su il dispositivo inutilizzabile o almeno inammissibile in tribunale.
La fase di acquisizione, chiamata anche "imaging delle mostre", consiste nell'ottenere un'immagine del contenuto del computer o di un altro dispositivo. Il problema principale con i media digitali è che sono prontamente modificati; anche il tentativo di accedere ai file o al contenuto della memoria di un computer può alterarne lo stato. È pertanto necessario evitare l'accesso diretto creando un'immagine esatta della memoria volatile e dei dischi del sistema in analisi. Ciò può essere ottenuto ottenendo una "copia bit" (una riproduzione esatta bit per bit) dei media utilizzando strumenti specializzati di blocco della scrittura che "rispecchiano" i dati prevenendo qualsiasi modifica al contenuto originale dei media.
La crescita delle dimensioni dei supporti di archiviazione e la diffusione di paradigmi come il cloud computing richiedono l'adozione di nuove tecniche di acquisizione che consentano agli investigatori di acquisire una copia "logica" dei dati anziché un'immagine completa del dispositivo di archiviazione fisico. Nel tentativo concentrato di garantire l'integrità dei dati, gli investigatori utilizzano meccanismi di "hashing" che generano valori di lunghezza fissa più brevi che rappresentano l'originale più lungo o più complesso. I valori con hash consentono ricerche più rapide e consentono ai ricercatori di valutare ogni momento per coerenza nei contenuti digitali oggetto di indagine. Qualsiasi modifica al contenuto provocherebbe un cambiamento nell'hash del manufatto digitale, che potrebbe essere facilmente individuato senza la necessità di cercare nell'intero database.
![Inquisizione spagnola Storia spagnola [1478–1834]](https://images.thetopknowledge.com/img/world-history/2/spanish-inquisition-spanish-history-14781834.jpg "Inquisizione spagnola Storia spagnola [1478–1834]")
