Gli standard della prova digitale: ISO 27037, SWGDE, BagIt, CASE/UCO
Una prova digitale non regge perché lo dici tu: regge se è costruita con regole riconosciute, che giudici e consulenti tecnici sanno leggere. Usare standard internazionali significa proprio questo — niente formato proprietario, niente «scatola nera» da contestare. Vediamo i quattro standard che contano, in parole semplici, e dove li ritrovi concretamente nel fascicolo prodotto da C.E.R.T.O.
I quattro standard, in parole semplici
ISO/IEC 27037
È la linea guida internazionale (ISO/IEC 27037:2012) su come identificare, raccogliere, acquisire e conservare una prova digitale senza alterarla. Non è una legge: è il riferimento metodologico che dimostra che hai operato «a regola d'arte». Nel fascicolo C.E.R.T.O. è dichiarata nel file bag-info.txt e seguita dall'intero flusso: sincronizzazione dell'orario (NTP), calcolo degli hash, marca temporale, log dettagliato dell'acquisizione.
SWGDE
Lo Scientific Working Group on Digital Evidence pubblica le buone pratiche operative più riconosciute della digital forensics (nel fascicolo è citata la SWGDE 18-F-002). In pratica è il «come si fa» condiviso dalla comunità tecnica internazionale. C.E.R.T.O. ne riporta la conformità in bag-info.txt e ne documenta la metodologia nei report.
BagIt (RFC 8493)
È il formato del contenitore (lo standard IETF RFC 8493, versione 1.0): definisce come impacchettare i dati e come verificarne l'integrità. Una cartella data/ con tutti i contenuti acquisiti, un manifest-sha256.txt che elenca l'impronta di ogni file e un tagmanifest-sha256.txt che protegge i file di controllo. È la «busta sigillata» standard: chiunque può ricalcolare le impronte e verificare che nulla sia cambiato.
CASE/UCO
È l'ontologia (CASE 1.3 / UCO 1.4) per descrivere la prova e la catena di custodia in modo interoperabile: un file in formato JSON-LD che mette in relazione il reperto, la sua origine, l'operatore e i tempi, in una struttura che altri strumenti forensi sanno leggere. Nel fascicolo è il file metadata/evidence.case.jsonld.
Dove ritrovi ogni standard nel fascicolo
| Standard | Cosa governa | Dove, nel fascicolo C.E.R.T.O. |
|---|---|---|
| ISO/IEC 27037 | Come si identifica, raccoglie, acquisisce e conserva la prova | Dichiarato in bag-info.txt; seguito da NTP, hash, marca temporale e log |
| SWGDE | Buone pratiche operative della digital forensics | bag-info.txt (Conformance) + metodologia nei report |
| BagIt (RFC 8493) | Il formato del contenitore e la verifica di integrità | bagit.txt, manifest-sha256.txt, tagmanifest-sha256.txt, cartella data/ |
| CASE/UCO | Come si descrive prova e catena di custodia, in modo interoperabile | metadata/evidence.case.jsonld |
Lo stesso bag-info.txt riassume tutto in una riga di conformità: ISO/IEC 27037:2012; SWGDE 18-F-002; BagIt RFC 8493 v1.0; CASE 1.3/UCO 1.4; RFC 3161.
Gli standard non bastano, se nessuno li sa leggere
Un fascicolo conforme è inutile se solo un informatico riesce ad aprirlo. Per questo C.E.R.T.O. produce, accanto ai dati grezzi, tre modi di leggere e validare la stessa acquisizione, pensati anche per chi tecnico non è.
1. La pagina interactive.html: reperta, rendiconta e valida
Dentro il fascicolo c'è un file interactive.html: una pagina web autoportante che si apre in qualsiasi browser, senza internet e senza software speciali. Non è un semplice indice: reperta (cataloga tutti i contenuti acquisiti), rendiconta (riassume operatore, tempi e sincronizzazione NTP, scope forense dichiarato, dati di rete, metodologia e pagine visitate) e valida (mostra gli screenshot, l'inventario dei file con le rispettive impronte, e lascia ispezionare la prova come se navigassi il sito reale). È il modo più immediato perché un giudice o un avvocato non tecnico capisca, in pochi minuti, cosa è stato acquisito e come.
2. Il report.pdf: il referto forense formale
Un report PDF leggibile e stampabile, pronto da allegare a una memoria o a una denuncia: URL e dominio acquisiti, IP del server remoto, codice dell'acquisizione, finestra temporale (UTC e ora locale), sincronizzazione NTP e l'inventario dei file con MD5, SHA-1 e SHA-256.
3. Il report.txt: lo stesso contenuto in testo puro
La versione in testo semplice dello stesso referto, comoda da consultare e da conservare. E c'è un dettaglio che conta: il report è a sua volta marcato temporalmente (file report.tsr, secondo RFC 3161), così anche il documento di sintesi ha una data certa.
Perché tutto questo conta in causa
Standard aperti più output leggibili significano una cosa sola: la tua prova non chiede fiducia, la dimostra. Il consulente di controparte non trova una scatola nera da attaccare, ma formati che conosce e può ricontrollare — e chiunque può verificare il fascicolo in autonomia, offline. È il fondamento tecnico della catena di custodia.
Domande frequenti
La conformità a ISO 27037 rende la prova automaticamente ammissibile?
No. L'ammissibilità la decide il giudice caso per caso. La conformità a ISO 27037 e SWGDE però rafforza la prova, perché dimostra un metodo riconosciuto e riduce gli appigli di contestazione.
Serve un software speciale per aprire il fascicolo?
No. Il file interactive.html e i report si aprono con un comune browser; la verifica crittografica usa strumenti standard e diffusi (come OpenSSL), funziona offline e i certificati necessari sono già dentro il fascicolo.
CASE/UCO, in pratica, a cosa serve?
Permette di descrivere la prova in un linguaggio comune ad altri strumenti forensi: utile quando il fascicolo deve dialogare con i flussi di lavoro di un CTU o di un'autorità.
Vedi anche: come si acquisisce una pagina web come prova.