skip to Main Content
+39 340 8184807 giulio.fontana@itconsbs.it

analisi forense

“Digital forensics” è la scienza che studia, in ambito giuridico, l’individuazione, la conservazione, la protezione, l’estrazione, la documentazione, l’impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo.

Nell’ambito della “Digital forensics” un aspetto fondamentale è la salvaguardia dei dati presenti sui supporti di archiviazione posti sotto il vincolo del sequestro, dunque non nella disponibilità del proprietario.

A salvaguardia dei dati e della garanzia di inalterabilità di questi ultimi, gli operatori preposti all’analisi dei dispositivi di archiviazione utilizzano determinate metodologie volte a garantire e provare l’esatta corrispondenza dei contenuti in qualsiasi momento dell’analisi. Per rendere possibile ciò occorre “congelare” il dato, ossia porre in essere gli accorgimenti tecnologici atti ad impedire scritture (anche accidentali) di bit e a verificare che in un momento successivo i dati presenti siano gli stessi. Per adempiere a tali obblighi, oltre all’utilizzo di strumenti hardware o software che inibiscano qualsiasi scrittura sui dispositivi di archiviazione, vengono impiegati algoritmi di hash (solitamente MD5 o SHA1 o SHA256) allo scopo di generare una sorta di impronta digitale di ciascun file e/o dell’intero contenuto del dispositivo, permettendo quindi di verificarne l’integrità in qualsiasi momento successivo al sequestro.

I dispositivi hardware che permettono di accedere al disco in modalità di sola lettura sono detti write blocker: tramite essi è possibile leggere i dati presenti nel dispositivo, estraendo quelli di interesse o procedendo alla copia forense. L’uso del write blocker richiede necessariamente un computer e la velocità di acquisizione dipende dalle prestazioni della macchina utilizzata per eseguire la copia.

Un’altra tipologia di dispositivo hardware è il copiatore il cui unico scopo è copiare bit per bit il disco “suspect” (oggetto di sequestro) su un altro disco, preservandone nello stesso tempo l’integrità così come avviene per il write blocker. I copiatori raggiungono velocità di acquisizione molto alte, toccando spesso i 5 GByte al minuto e non richiedono l’ausilio di un computer per poter essere utilizzati.

Dal punto di vista software, un ottimo strumento che impedisce la scrittura (e quindi la modifica anche involontaria dei dati presenti sul dispositivo) è Linux: tramite il comando mount consente infatti di montare il dispositivo in sola lettura (opzione non disponibile invece nei sistemi Windows che quindi richiedono un write blocker per accedere al disco sorgente).

Dal momento che non esiste una definizione univoca ricompresa nella dizione “informatica forense” il Digital Forensics Expert deve occuparsi di “preservare, identificare, studiare ed analizzare i contenuti memorizzati all’interno di qualsiasi supporto o dispositivo di memorizzazione”. Le attività sono dirette non solo a tutte le categorie di computer, ma a qualsiasi attrezzatura elettronica con potenzialità di memorizzazione dei dati (ad esempio, cellulari, smartphone, sistemi di domotica, autoveicoli e tutto ciò che contiene dati memorizzati).

Presentazione attività analisi forense

Giulio Angelo Fontana, nato a Brescia il 17/09/1961, consulente informatico, dal 2002 collaborazioni con gli Uffici Giudiziari in qualità di CTP e Perito per procedimenti civili e penali interessati da attività informatiche con particolari riferimenti a reti cablate e wireless, server, client, sistemi di backup, ambienti virtuali, tracciature in internet, “Mobile Forensic” per smartphone, tablet, sistemi di navigazione.

Le attrezzature e gli applicativi specifici in dotazione, Ufed4PC prodotto dalla società israeliana Cellebrite (per apparati mobili) http://www.cellebrite.com , Falcon distribuito dalla società Logicube https://www.logicube.com/shop/falcon/?v=cd32106bcb6d e Ditto di Wiebetech http://www.cru-inc.com/products/wiebetech/ditto_forensic_fieldstation/ , Axiom di Magnet Forensic https://wwhttps://www.magnetforensics.com/resources/introduction-magnet-axiom/ , applicativi open source quali DEFT, CAINE, AUTOPSY, consentono di ottenere risultati ottimali.

L’analisi forense di supporti informatici

Al termine delle operazioni di duplicazione dei supporti di memoria (tecnicamente, acquisizione forense), generando una copia forense, si procede alle procedure di analisi, differenziate per tipologia di intervento, che consentono di:

  • Verificare cosa è accaduto nel tempo, mediante analisi forense di “timeline” allo scopo di stabilire i tempi e i modi in cui si sono verificati i fatti;
  • Recuperare file in chiaro, recuperare file cancellati, analizzare i dati presenti nello “slack space”;
  • Recuperare dati cancellati (anche recupero dati da dischi formattati) utilizzando le più avanzate tecniche di data carving;
  • Indicizzare e ricercare dati per parola chiave (tecnicamente, keyword searching);
  • Individuare copie illegittime di dati o letture massive di dati, specialmente in contesti aziendali o in cui occorre prestare attenzione alla tutela della proprietà intellettuale, ricerca ed identificazione di accessi abusivi a reti informatiche;
  • Migliorare la qualità da immagini e video (ad esempio, recuperare targa di un auto da un’immagine);
  • Analizzare approfonditamente quanto svolto on-line e on-site dall’utilizzatore dell’apparato al fine di evidenziare attività illecite, pedo pornografia, armi, droga etc.

tecniche e nozioni di un'analisi forense

La prima, Live, presuppone che l’acquisizione sia svolta ad apparato funzionante, consentendo l’acquisizione delle cosiddette “evidenze volatili”, ovvero tutte quelle informazioni che andrebbero perse al momento dello spegnimento dell’apparato. In questo caso si utilizzano distro Linux quali:

  • C.A.I.N.E (Computer Aided Investigative Environment), sviluppato da Nanni Bassetti, oggi giunta alla versione 7 ,
  • DEFT (Digital Evidence & Forensic Toolkit) Linux, sviluppato da Stefano Fratepietro.

Tramite gli strumenti forensi hardware e software siamo in grado di analizzare qualsiasi dispositivo, fisso o mobile, dotato di memoria di archiviazione. Indispensabile garantire la ripetibilità delle operazioni eseguite e quindi non alterare il supporto di memoria originario oggetto di indagini. Alcune specifiche. Le acquisizioni dei supporti di memoria può avvenire in due modalità:

  • Acquisizione di un sistema Live
  • Acquisizione di un sistema Dead.

La seconda, Dead, presuppone lo spegnimento della apparecchiatura elettronica oggetto di interesse, lo smontaggio della memoria e l’acquisizione della copia forense tramite apparecchiature elettroniche hardware specifiche che svolgono contestualmente la funzione di write blocker, garantendo l’integrità del supporto di origine e quindi la ripetibilità dell’operazione, quali Tableu Guidance software, Falcon, della Logicube Ditto della Wiebetech che offrono le seguenti possibilità: -Supporto per dischi SATA/eSATA, PATA, USB -Porta PCI express per moduli aggiuntivi (wireless, SAS, USB 3.0, Thunderbird, firewire, media flash cards) -Possibilità con la doppia porta Gigabit di salvare la copia dati via rete (Share di Windows, iSCSI, NFS) -Formati di immagine: DD, Encase, AFF o clone -Hash MD5 o SHA1 I software di acquisizione sono disponibili sia per piattaforme Linux, come sopra indicato, che per Microsoft Windows. Una volta acquisita la copia forense e verificato l’esatta corrispondenza della copia creata con il supporto di origine si deve procedere all’analisi utilizzando applicativi altrettanto specifici che consentono di accedere anche ai dati cancellati e di generare report riassuntivi di facile consultazione per le successive ricerche dei dati di interesse. Alcuni esempi di applicativi: Magnet IEF, completo dei moduli aggiuntivi per specifiche attività investigative, della Magnetic Forensic, che consente la generazione di report dettagliati e la creazione di case portarle per le successive analisi e ricerche.

FTK toolkit, di Access Data etc. Per i dispositivi mobili quali Smartphone, dispositivi GPS portatili, Tablet e telefoni con chipset cinesi, e relative schede SIM e/o schede microSD di archiviazione, utilizziamo l’UFED 4PC Ultimate della famosa azienda israeliana Cellebrite (si rammenta la recente diatriba tra FBI e Apple per lo sblocco di un cellulare negato da Apple per garantire la privacy dei propri clienti e risoltasi con l’utilizzo dell’applicativo sopra riportato). La qualità e completezza dei report generati si rivela costantemente utilissimo supporto ai fini investigativi.

Connettori UFED validi per oltre 7.000 apparati

Ufficialmente riconosciuto quale incontrastato dispositivo di estrazione dati da apparati mobili e di analisi approfondita, l’UFED 4PC Ultimate, permette l’estrazione, la decodificazione e l’analisi dei dati.

Esegue l’estrazione fisica e/o logica di file di sistema e password (anche se già eliminati).

Back To Top