Il 10 marzo inizierà l’evento MSAB Mobile Forensics Digital Summit, dedicato all’analisi forense dei dispositivi mobili e non solo. L’iniziativa si svolgerà interamente online e durerà ben tre giorni.
Il programma è davvero ricco, con interessanti contenuti proposti da esperti internazionali sia del settore pubblico che di quello privato. Inoltre, sono felice di comunicare che sono stato selezionato per tenere un intervento al convegno.
Il mio contributo si intitola “Open-Source Tools for Digital Forensics”, e ha l’obiettivo di presentare una carrellata di strumenti software per questo ambito (tra cui i miei progetti Fuji e RecuperaBit):
This session introduces open-source solutions for digital forensics, covering how they support evidence acquisition, analysis, and recovery. Participants will see how these tools promote transparency, accessibility, and seamless integration with existing workflows, making them valuable for both professionals and researchers.
La mia presentazione è fissata per il 10 marzo 2026 alle ore 20:50 italiane.
Maggiori informazioni sul programma e le modalità di iscrizione sono disponibili sul sito web di MSAB:
L’inizio del 2026 è stato un periodo di forte sviluppo per Fuji, il mio programma open-source per l’acquisizione forense di macOS.
Dopo alcuni mesi di poca attività, ho ricominciato un intenso lavoro per includere nuove funzioni, correzioni di bug e miglioramenti generali. Sono davvero soddisfatto del risultato ottenuto e i varicommentiricevuti, anche da esponenti delle forze dell’ordine di diversi paesi, sembrano condividere l’entusiasmo.
La novità più interessante della nuova versione di Fuji è la possibilità di avviare il programma tramite la recovery mode, e questo funziona sia con i Mac di tipo Intel che Apple Silicon.
Qualora il dispositivo non abbia la funzionalità FileVault attiva, ciò rende possibile effettuare la copia forense del Mac senza conoscere la password dell’utilizzatore.
Viene introdotto il concetto di Fuji Cartridge, cioè un dispositivo USB che si può usare per far partire Fuji in questa modalità. Una caratteristica innovativa è che il dispositivo può essere disconnesso non appena il programma è partito, in quanto Fuji si auto-replica in un RAM disk e rende di nuovo disponibile la porta USB.
L’analista forense può creare una Fuji Cartridge con qualunque computer, indipendentemente dal sistema operativo utilizzato, anche riciclando una vecchia chiavetta di scarsa capacità. La metafora della cartuccia è piaciuta a molti e ha ispirato qualche idea piuttosto originale.
L’esperto di analisi forense Derek Eiri ha pubblicato le foto di un dispositivo USB artigianalmente inserito nel guscio di una vera cartuccia. Il risultato è ragguardevole!
Fuji Cartridge realizzata da Derek Eiri
Fuji 1.2.0 include anche altre migliorie:
Nuovo metodo di acquisizione Ditto, necessario in recovery mode dove Rsync non si può utilizzare
Pulizia dei file temporanei, a volte fonte di confusione
Selezione automatica del volume dati, dove risiedono tutti i file dell’utente
Raccolta degli Unified Logs molto più completa di prima
Produzione di un file ZIP per l’acquisizione con metodo Sysdiagnose e conversione dei dati in JSONL invece di SQLite
Nuovo formato del DMG di Fuji, masterizzabile con balenaEtcher
Infine, con l’occasione è stato pubblicato un nuovo sito web dedicato alla documentazione del programma. Qui sotto riporto i link del progetto:
Fuji sta riscuotendo un discreto successo sia tra i consulenti tecnici che tra le forze dell’ordine e mi piacerebbe che tutti potessero provarlo. Se trovate interessante il progetto, vi esorto a diffonderlo tra i vostri colleghi. 😉
XRY è un formato di file utilizzato per le copie forensi dall’omonimo software di acquisizione di dati da smartphone, nonché dalla suite di analisi XAMN. Entrambi i programmi sono sviluppati da MSAB, una multinazionale svedese che opera nel settore dell’informatica forense, per la quale sono stato relatore in alcuni workshop.
Il formato XRY presenta alcuni vantaggi in termini di integrità dei dati, in quanto consiste in un container sicuro che racchiude i dati acquisiti da XRY e il risultato delle analisi effettuate con XAMN. Ma il fatto di essere un formato proprietario, con caratteristiche anti-manomissione, lo rende poco interoperabile con i software di altre aziende o i programmi di analisi open-source.
Una domanda ricorrente nelle comunità dedicate alla digital forensics riguarda proprio la necessità di convertire un’acquisizione forense in formato XRY affinché possa essere importata in altre suite di analisi.
Normalmente la risposta “classica”, che talvolta proponevo anch’io, era di utilizzare la propria licenza di XRY o XAMN per esportare i dati in formato ZIP.
Ciò non è sempre possibile, e può capitare di ricevere un file in formato XRY generato da un altro consulente. La cosa interessante è che esiste una soluzione semplice e gratuita, recentemente condivisa dall’utente DFxb all’interno del Digital Forensics Discord Server, una comunità internazionale per i professionisti del settore.
Questa procedura può tornare utile a molti, perciò ritengo interessante condividerla qui con un articolo in lingua italiana per i colleghi che dovessero averne bisogno, ma anche come appunti per il futuro.
Aprire la copia con XAMN Viewer
Se volete replicare le istruzioni descritte in questo articolo, dovete utilizzare un’immagine forense in formato XRY. Ho sperimentato la procedura con quella create da Josh Hickman e pubblicata su Digital Corpora, di cui vi lascio il link:
Dopo aver avviato il programma (che non richiede installazione), è sufficiente cliccare su Open per caricare il file XRY di interesse. Una volta terminato il processo, vedrete alcune informazioni di base sui dati contenuti:
Schermata iniziale di XAMN Viewer
Esportare il file system
A questo punto è necessario identificare l’elenco dei file da esportare. Per prima cosa, selezionate View all artifacts. Nella schermata che si apre, identificate la modalità di visualizzazione indicata da List (in alto) e poi scegliete File Tree.
Menù per cambiare la modalità di visualizzazione
Comparirà una elenco di file, che inizia dal nodo radice (per esempio Tar Android_13_MSAB.xry). Fate click con il tasto destro su questo elemento e scegliete l’opzione Export all files.
Opzione per avviare l’esportazione di tutti i file
XAMN Viewer salverà i dati nel percorso da voi scelto, generando una struttura di cartelle nella quale dovrete identificare quelle chiamata Volumes. All’interno di essa troverete la struttura dei file corrispondente al contenuto del dispositivo.
Alla fine del processo verrà mostrato anche un file di log che indica eventuali cambi di nome effettuati dal programma su alcuni file. Assicuratevi di leggerlo con attenzione.
Creare un archivio ZIP
Nel mio esempio, c’era un’unica directory chiamata data. Ad ogni modo, se desiderate creare un archivio ZIP, dovete selezionare tutte le directory e aggiungerle a un archivio compresso. Questo rappresenta una estrazione file system che può essere importata in molti programmi di analisi.
È importante verificare che la struttura dell’archivio ZIP sia corretta. Quando lo aprite con un programma di gestione archivi, dovete vedere le directory corrispondenti al dispositivo. Se trovate una cartella Volumes come nodo radice, significa che l’archivio non è stato creato nel modo giusto.
Non vi resta altro che sbizzarrirvi a usare lo strumento che preferite per analizzare l’archivio ZIP. Io ho provato ALEAPP, un ottimo programma open-source che ha fatto un eccellente lavoro nell’interpretare i dati del dispositivo.
Report generato con ALEAPP
Per concludere, vi lascio i link alle guide sull’importazione degli archivi ZIP per alcuni dei principali software di analisi forense:
Il 15 novembre 2025 si svolgerà HackInBo® Classic Edition Winter 2025, cioè la venticinquesima edizione della più attesa conferenza italiana su sicurezza informatica e hacking, che ogni anno attira migliaia di partecipanti da tutta la penisola.
Il programma è ricco di temi interessanti e io sarò impegnato con la realizzazione di un intervento interamente dedicato all’acquisizione forense dei Mac:
L’architettura Apple Silicon ha introdotto nuove sfide per l’acquisizione forense di dispositivi macOS, poiché gli strumenti tradizionali di copia come dd o Disk Utility non possono essere usati, data la crittografia a livello hardware. Questo problema ha ispirato la creazione di Fuji, uno strumento gratuito e open-source per l’acquisizione forense dei computer Mac.
Fuji sfrutta le utility native di Apple come ASR e Rsync per eseguire un’acquisizione live completa del file system (FFS), funzionando anche su unità criptate. Genera file DMG compatibili con strumenti come FTK Imager e Autopsy.
Vedremo cosa è in grado di fare Fuji, le differenze tra le modalità di acquisizione e come è stato sviluppato utilizzando Python.
Si tratta di un argomento piuttosto attuale nell’informatica forense, in quanto la gestione dei dispositivi Apple richiede accortezze diverse rispetto ai classici PC con Windows o Linux.
Maggiori informazioni sul programma sono disponibili sul sito ufficiale, e di seguito trovate i riferimenti per i biglietti dell’evento:
Anche quest’anno a ottobre si svolgerà il Linux Day, la principale iniziativa italiana per conoscere e approfondire Linux e il software libero. Dal 2001 in tutta Italia si possono trovare vari eventi locali con talk, workshop, spazi per l’assistenza tecnica e dimostrazioni pratiche di software e hardware libero.
Quest’anno la giornata sarà dedicata alla privacy, sicurezza e sovranità del software. Parteciperò proponendo un talk riguardante l’uso degli strumenti open-source per l’informatica forense, i quali permettono di mantenere un maggior controllo (e sovranità) sul software usato per le indagini sui dispositivi digitali.
L’edizione berica del Linux Day avrà luogo Sabato 25 ottobre dalle 9:00 alle 18:00, presso l’Istituto Farina, in Via IV novembre 32 a Vicenza. L’iniziativa è organizzata da ILS Vicenza con la collaborazione del LUG Vicenza.
Ci saranno molti contenuti interessanti, tra cui vari interventi, dimostrazioni pratiche e un angolo dedicato all’installazione del sistema operativo (su prenotazione).
L’ingresso è libero e gratuito per i vari eventi in tutta Italia. È comunque consigliato prenotare un biglietto gratuito su Eventbrite, per aiutare l’organizzazione a gestire meglio il flusso di visitatori.
Materiale
La registrazione dell’intervento è disponibile su YouTube e qui sotto. Inoltre, potete scaricare le slide in PDFcliccando qui.
Clicca qui per mostrare contenuto da YouTube. (leggi la privacy policy del servizio)
Il 28 settembre 2025 a Praga (Repubblica Ceca) si svolgerà l’annuale edizione del SANS DFIR Europe Summit, uno dei più importanti eventi a livello europeo nel settore dell’informatica forense.
Il programma è davvero folto e ben cinque delle tredici presentazioni saranno tenute da professionisti italiani! Sono lieto di comunicare che, per il secondo anno di fila, sono stato selezionato per tenere un intervento al convegno.
Nel 2024 ho parlato del progetto open-source Fuji, mentre quest’anno il mio contributo si intitola “Home Automation and IoT as a Source of Evidence: Forensic Analysis of Home Assistant”, con l’obiettivo di proporre a un pubblico internazionale il lavoro di ricerca finora presentato solo in Italia:
The proliferation of IoT devices has made home automation systems increasingly common, yet they are often overlooked during traditional forensic analyses. This presentation aims to explore how Home Assistant, one of the most popular home automation platforms, can provide potentially valuable information.
By analyzing the data collected from Home Assistant, it may be possible to track the user’s smartphone movements, ascertain the use of devices such as televisions and lights, and even identify whether a window in the house has been left open. All these elements can be precisely associated with specific dates and times, thereby corroborating (or refuting) any statements made.
Maggiori informazioni sul programma e le modalità di iscrizione sono disponibili direttamente sul sito web di SANS:
Colgo l’occasione per ringraziare ONIF (Osservatorio Nazionale Informatica Forense) per il sostegno che mi ha dato nella partecipazione al convegno, nonché in quella degli altri colleghi e soci che presenteranno i loro progetti durante la stessa giornata.
Materiale
La registrazione dell’intervento è disponibile su YouTube e qui sotto. Potete scaricare le slide in PDFcliccando qui, oppure visualizzarle sul sito web di SANS.
Clicca qui per mostrare contenuto da YouTube. (leggi la privacy policy del servizio)
In veste di consulente informatico forense, spesso mi confronto con i colleghi su come affrontare inconvenienti tecnici nelle attività lavorative.
Questo articolo è il risultato di uno di questi scambi. Un amico mi ha contattato perché, in un’indagine, si trovava a dover acquisire uno smartphone Android che risultava bloccato dalla funzione antifurto di ESET Mobile Security.
Schermata di blocco di ESET Mobile Security
Questo tipo di blocco si presenta nonostante si sia in possesso del PIN per l’accesso alla schermata di blocco standard di Android. È un blocco aggiuntivo attivato automaticamente in determinate condizioni, come la rimozione della SIM card o l’inserimento di più codici PIN errati.
Impostazioni di sicurezza disponibili in ESET Mobile Security
Il collega che mi ha contattato mi ha riferito di essere riuscito a collegare il telefono al computer con un cavo USB e di aver autorizzato (con fatica) l’uso del protocollo ADB. Tuttavia non riusciva a fare nulla, per via della modalità antifurto attiva.
Questa specifica circostanza ha permesso di arrivare a una soluzione: il fatto che l’utente del telefono avesse lasciato il debug USB acceso si è rivelato fondamentale. La procedura che indicherò di seguito quindi non è sempre applicabile, ma è utile conoscerla e utilizzarla quando possibile.
Prima di tutto, ho suggerito di identificare il codice del pacchetto dell’antivirus con il seguente comando:
adb shell pm list packages | grep -i eset
Tra le righe risultanti, è possibile identificare subito il nome corretto del pacchetto, vale a dire com.eset.ems2.gp.
Giunti a questo punto, abbiamo tentato di interrompere l’applicazione (la cosiddetta operazione di force stop) tramite il comando:
adb shell am force-stop com.eset.ems2.gp
Purtroppo, l’apparente esito positivo è durato ben poco. Nel giro di qualche istante la modalità antifurto è ripartita. Il secondo tentativo invece è consistito nella disattivazione del pacchetto:
adb shell am disable-user com.eset.ems2.gp
L’applicazione è stata immediatamente inibita e il telefono ha ripreso a mostrare la normale interfaccia grafica, diventando pienamente utilizzabile.
Lo smartphone è stato sottoposto ad acquisizione forense seguendo le consuete procedure del caso.
Questa esperienza dimostra che un telefono può presentare ostacoli tecnici anche se il proprietario ha fornito il codice di sblocco di Android.
Infatti le applicazioni antifurto sono concepite per attivarsi in modo automatico e potrebbero ostacolare le attività tecniche sul dispositivo. In questi casi è fondamentale conoscere il funzionamento del sistema operativo e sapere come intervenire manualmente.
La procedura suggerita si può applicare se il dispositivo ha il debug USB attivo, ma non è limitata esclusivamente a ESET Mobile Security. Essa può essere usata anche per altri tipi di soluzioni di sicurezza.
Se vi serve una consulenza tecnica forense riguardante i dati presenti in uno smartphone, potete richiedere questo tipo di servizio tramite la pagina dedicata.
A giugno si terrà un evento organizzato congiuntamente dall’Ordine degli Ingegneri della provincia di Brescia (Commissione Ingegneria Forense) e ONIF (Osservatorio Nazionale Informatica Forense), dal titolo La Scienza del Digitale: evoluzione e riconoscimento della figura dell’Informatico Forense.
L’incontro si svolgerà Martedì 10 giugno, dalle 9:15 alle 16:30, presso la Sala Conferenze di Assoartigiani, Via Cefalonia 66 a Brescia.
Il programma è molto nutrito e si articola in una giornata di approfondimento tecnico-scientifico riguardo l’evoluzione dell’informatica forense, tra strumenti, intelligenza artificiale, responsabilità giuridiche e gestione delle prove digitali.
Sarò presente con un intervento intitolato “Domotica e IoT come fonte di prova: Analisi forense di Home Assistant”, dedicato all’analisi di sistemi ormai onnipresenti, ma talvolta ignorati nonostante la mole di dati che contengono:
La popolarità dei dispositivi IoT ha reso i sistemi domotici sempre più diffusi, ma essi sono spesso trascurati durante le analisi forensi tradizionali.
L’intervento vuole approfondire come Home Assistant, una delle piattaforme domotiche più popolari, può fornire informazioni potenzialmente molto preziose. Attraverso l’analisi dei dati raccolti da Home Assistant, si potrebbe tracciare il movimento dello smartphone dell’utente, accertare l’uso di dispositivi come televisori e luci, e persino identificare se una finestra della casa è stata lasciata aperta. Tutti questi elementi possono essere associati puntualmente a date e orari precisi, in modo da corroborare (o smentire) eventuali dichiarazioni.
Maggiori informazioni sul programma sono disponibili nella locandina, mentre l’iscrizione avviene tramite il portale di ISI Formazione:
La partecipazione all’evento è totalmente gratuita, ma è obbligatorio registrarsi. L’evento garantisce il riconoscimento di 6 CFP per gli ingegneri, e 4 crediti formativi per gli avvocati.
Materiale
L’evento non è stato registrato, ma potete scaricare le slide in PDFcliccando qui.
Il prossimo mese si terrà un evento organizzato da MSAB, con la collaborazione di NUIX, SANS ed E-Trace, dal titolo Nuovi Orizzonti per le Indagini Digitali Forensi: Sfide e Soluzioni. L’incontro avrà luogo l’8 maggio 2025, dalle 08:30 alle 18:30, presso il Grand Hotel Doria di Milano.
Insieme all’amico e collega Paolo Dal Checco, saremo presenti con un intervento intitolato “Web Forensics: Le nuove frontiere delle prove digitali”. Questo sarà dedicato alla sempre più frequente necessità di raccogliere elementi di prova dalle pagine web, che si scontra con l’aumentare della complessità dei siti web moderni.
Il programma è ricco e coprirà molteplici argomenti:
8:45 · Registrazione partecipanti
9:30 · Introduzione
9:45 · Non solo FFS, estrazioni fisiche BFU con XRY Ghennadii Konev & Giovanni Maria Castoldi
10:30 · Coffee break
10:45 · Not so private browsing! Mattia Epifani
11:45 · Rethinking digital investigations: beyond keyword searches Dario Beniamini
12:30 · Web forensics: le nuove frontiere delle prove digitali Paolo Dal Checco & Andrea Lazzarotto
13:15 · Pranzo
14:30 · SANS DFIR trainings: la formazione oltre l’aggiornamento Manlio Longinotti
15:00 · Perquisizione e sequestro del dispositivo “mobile” tra rispetto delle regole processuali e delle garanzie di parte Pier Luca Toselli & Roberto Murenec
15:45 · Coffee break
16:00 · Intervento E-Trace eTrace Digital Security
16:45 · Q&A, demo
18:00 · Termine
Maggiori dettagli sono indicati sul sito web di MSAB:
Recentemente ho iniziato a interessarmi al tema dell’acquisizione forense dei computer prodotti da Apple. Per i PC di altri produttori (solitamente con Windows o Linux) esistono vari programmi per fare una copia forense, ma con i Mac la scelta è piuttosto limitata e i pochi prodotti esistenti sono per di più costosi.
Per questo motivo ho deciso di creare un nuovo progetto. Fuji è un software per l’acquisizione forense per i Mac vecchi e nuovi, inclusi gli ultimissimi modelli con Apple Silicon. Permette di ottenere una cosiddetta estrazione Full File System, adoperando una semplice interfaccia grafica e senza righe di comando.
Interfaccia principale del programma
Fuji è un progetto completamente gratuito e open source, disponibile per il download su GitHub. Dopo averlo annunciato a maggio con un post su LinkedIn, ha avuto un riscontro piuttosto positivo dalla comunità.
Ad agosto sono stato intervistato dalla rivista di settore Forensic Focus, che mi ha fatto alcune domande sul mio lavoro, su questo progetto e sul perché l’ho iniziato:
Ho creato Fuji perché ci sono pochi programmi in grado di eseguire l’acquisizione forense dei Mac moderni. Molti sono costosi e nessuno è gratuito o open source.
C’è stata anche l’opportunità di parlare più in generale di quanto il software open source sia importante nel settore dell’informatica forense:
L’open source facilita la verificabilità di ciò che viene fatto. Immagina se, durante un processo in cui la prova del DNA gioca un ruolo cruciale, il biologo ti dicesse: “Non posso dire come ho estratto il DNA del sospetto dalla scena perché è un segreto commerciale, però fidati.”
Inoltre, ho il piacere di comunicarvi che il 29 settembre 2024 a Praga (Repubblica Ceca) si svolgerà l’annuale edizione del SANS DFIR Europe Summit, uno dei più importanti eventi a livello europeo nel settore dell’informatica forense.
Il programma è davvero folto, e tra le 11 presentazioni ben cinque saranno tenute da professionisti italiani! Sarò presente con un intervento intitolato “Fuji: A New Open Source Tool For Full File System Acquisition of Mac Computers”, proprio per presentare il mio progetto:
The advent of Apple Silicon introduced new challenges for forensic acquisition on macOS devices, as traditional imaging tools like dd or Disk Utility cannot be used due to hardware-level encryption. This issue inspired the creation of Fuji, a free and open-source tool designed for the forensic acquisition of Mac computers.
Fuji leverages native Apple utilities such as ASR and Rsync to perform a Full File System (FFS) live acquisition, thus working even on encrypted drives. It generates DMG files compatible with tools like FTK Imager and Autopsy.
We will explore what Fuji is capable of, the differences between its acquisition modes, and how it was developed using Python.
Maggiori informazioni sul programma e le modalità di iscrizione sono disponibili direttamente sul sito web di SANS:
Colgo l’occasione per ringraziare ONIF (Osservatorio Nazionale Informatica Forense) per il sostegno che mi ha dato nella partecipazione al convegno, nonché in quella degli altri colleghi e soci che presenteranno i loro progetti durante la stessa giornata.
Materiale
L’evento era riservato agli iscritti e non è stato registrato. Però potete scaricare le slide in PDFcliccando qui, oppure visualizzarle sul sito web di SANS.
