Tramite gli strumenti forensi hardware e software siamo in grado di analizzare qualsiasi dispositivo, fisso o mobile, dotato di memoria di archiviazione. Indispensabile garantire la ripetibilità delle operazioni eseguite e quindi non alterare il supporto di memoria originario oggetto di indagini. Alcune specifiche. Le acquisizioni dei supporti di memoria può avvenire in due modalità:

  • Acquisizione di un sistema Live
  • Acquisizione di un sistema Dead.

La prima, Live, presuppone che l’acquisizione sia svolta ad apparato funzionante, consentendo l’acquisizione delle cosiddette “evidenze volatili”, ovvero tutte quelle informazioni che andrebbero perse al momento dello spegnimento dell’apparato. In questo caso si utilizzano distro Linux quali:

  • C.A.I.N.E (Computer Aided Investigative Environment), sviluppato da Nanni Bassetti, oggi giunta alla versione 7 ,
  • DEFT (Digital Evidence & Forensic Toolkit) Linux, sviluppato da Stefano Fratepietro.

caine itconsbs                       Deft itconsbs La seconda, Dead, presuppone lo spegnimento della apparecchiatura elettronica oggetto di interesse, lo smontaggio della memoria e l’acquisizione della copia forense tramite apparecchiature elettroniche hardware specifiche che svolgono contestualmente la funzione di write blocker, garantendo l’integrità del supporto di origine  e quindi la ripetibilità dell’operazione, quali Tableu Guidance software, Falcon, della Logicube Ditto della Wiebetech che offrono le seguenti possibilità: -Supporto per dischi SATA/eSATA, PATA, USB -Porta PCI express per moduli aggiuntivi (wireless, SAS, USB 3.0, Thunderbird, firewire, media flash cards) -Possibilità con la doppia porta Gigabit di salvare la copia dati via rete (Share di Windows, iSCSI, NFS) -Formati di immagine: DD, Encase, AFF o clone -Hash MD5 o SHA1 I software di acquisizione sono disponibili sia per piattaforme Linux, come sopra indicato, che per Microsoft Windows. Una volta acquisita la copia forense e verificato l’esatta corrispondenza della copia creata con il supporto di origine si deve procedere all’analisi utilizzando applicativi altrettanto specifici che consentono di accedere anche ai dati cancellati e di generare report riassuntivi di facile consultazione per le successive ricerche dei dati di interesse. Alcuni esempi di applicativi: Magnet IEF, completo dei moduli aggiuntivi per specifiche attività investigative, della Magnetic Forensic, che consente la generazione di report dettagliati e la creazione di case portarle per le successive analisi e ricerche. Magnet forensic itconsbs FTK toolkit, di Access Data etc.   Per i dispositivi mobili quali Smartphone, dispositivi GPS portatili, Tablet e telefoni con chipset cinesi, e relative schede SIM e/o schede microSD di archiviazione, utilizziamo l’UFED 4PC Ultimate della famosa azienda israeliana Cellebrite (si rammenta la recente diatriba tra FBI e Apple per lo sblocco di un cellulare negato da Apple per garantire la privacy dei propri clienti e risoltasi con l’utilizzo dell’applicativo sopra riportato). La qualità e completezza dei report generati si rivela costantemente utilissimo supporto ai fini investigativi.

ufed 4pc itconsbs

Connettori UFED validi per oltre 7.000 apparati

Ufficialmente riconosciuto quale incontrastato dispositivo di estrazione dati da apparati mobili e di analisi approfondita, l’UFED 4PC Ultimate, permette l’estrazione, la decodificazione e l’analisi dei dati.

ufed4pc itconsbs

Schermata principale

Esegue l’estrazione fisica e/o logica di file di sistema e password (anche se già eliminati).