La digital forensics (informatica forense) è una disciplina che ha l’obiettivo di identificare, acquisire, conservare, analizzare e documentare i dati contenuti all’interno di reperti informatici. Le informazioni ottenute possono quindi essere utilizzate come elementi di prova in ambito civile e penale.
Durante tutte le operazioni è fondamentale garantire la ripetibilità di quanto viene svolto, nonché l’integrità, la validità e l’accuratezza dei dati originali. In Italia il principale riferimento normativo per questa disciplina è la Legge 48 del 18 marzo 2008, che ratifica la Convenzione Europea sul Cybercrime.
Nell’analisi di prove informatiche è necessaria competenza nell’esaminare, interpretare e scremare i dati recuperati, per evitare che gli aspetti più importanti vengano trascurati. I risultati del lavoro vengono documentati tramite una relazione, chiamata anche consulenza tecnica o perizia informatica, che può essere utilizzata in sede processuale.
Quando può essere utile l’informatica forense
La digital forensics si rivela utile in un’ampia rosa di casistiche, dalle problematiche aziendali fino ai reati più gravi. Oramai l’analisi dei dispositivi non riguarda più soltanto i reati strettamente informatici, ma coinvolge anche tutti i casi in cui sia stato utilizzato un computer o uno smartphone per preparare o commettere il fatto.
I casi più comuni in cui una consulenza tecnica informatica può giocare un ruolo fondamentale sono:
- Accesso abusivo ad un sistema informatico
- Danneggiamento di sistemi informatici
- Utilizzo improprio dei sistemi aziendali
- Sottrazione di dati
- Spionaggio industriale
- Concorrenza sleale
- Controversie nei contratti di fornitura di software
- Diffamazione a mezzo Internet
- Stalking (atti persecutori)
- Grooming (adescamento di minori online)
A chi è rivolta l’attività di consulenza
Mi occupo di informatica forense sia in ambito aziendale che nel contesto della Consulenza Tecnica di Parte (CTP) in campo civile e penale. Lavoro a stretto contatto con avvocati, aziende e privati, affinché possano esercitare il diritto alla difesa, redigendo consulenze tecniche e perizie informatiche.
Posso fornire supporto a partire dall’insorgere del problema, durante le indagini difensive e in sede di udienza e dibattimento.
Mi occupo inoltre di assistere gli investigatori privati nei casi in cui sia richiesta una specifica competenza in ambito informatico. Supporto i clienti che necessitano di svolgere indagini aziendali interne per verificare e comprovare la sussistenza di comportamenti illeciti, o a seguito di accessi abusivi e furti di dati.
Servizi offerti
Acquisizione e duplicazione forense
Con l’utilizzo di specifici strumenti software e hardware viene effettuata la copia di tutti i dispositivi di memoria (hard disk, chiavetta USB, SSD, CD/DVD, …) in modo completo, indipendentemente dal sistema operativo e con la garanzia di non alterarne i contenuti. Si possono inoltre acquisire dati da smartphone e tablet (Android, iOS, Windows Phone, BlackBerry, …), nonché i contenuti di caselle email e cartelle cloud.
È possibile acquisire e “cristallizzare” informazioni, immagini e video presenti all’interno di siti web, social network e chat, per prevenire il rischio che i contenuti vengano in seguito cancellati o occultati.
Recupero dati
Viene effettuata una accurata scansione dei dispositivi che consente di acquisire tutte le tracce di file cancellati, anche da supporti formattati o con danni logici i quali risultano “vuoti” o illeggibili dai normali strumenti del sistema operativo. In determinati casi è anche possibile procedere alla riparazione di documenti, archivi e file multimediali corrotti.
Il recupero viene fatto tramite procedure di diagnosi corrette che non modificano i dati originali. Tentativi maldestri potrebbero aggravare la situazione e rendere più difficile o impossibile l’estrazione dei dati. Si può effettuare il recupero dati da tutti i supporti magnetici, quelli ottici e anche dalle macchine virtuali.
Analisi forense
I dati estratti vengono sottoposti ad una accurata analisi al fine di documentarne il contenuto. Viene prodotta una timeline che consente di verificare le attività che sono state svolte con il dispositivo e gli indicatori comportamentali, ad esempio l’uso di programmi e file, la navigazione sul web, la copia di dati su dispositivi esterni e lo scambio di email, messaggi e chat.
Le conclusioni vengono sempre presentate in una relazione tecnica dettagliata, che può essere utilizzata per valutazioni aziendali oppure in giudizio.
Indagini da fonti aperte
Applicando tecniche di OSINT (Open Source Intelligence) vengono svolte delle indagini informatiche per acquisire fatti e dati di interesse dall’analisi delle fonti aperte, utili ad esempio nell’ambito delle indagini difensive. Alcuni esempi di attività includono l’individuazione del proprietario di un sito web oppure la determinazione della data in cui è stato scritto un articolo di un blog.
Attività su immagini e video digitali
Le immagini vengono filtrate, ingrandite e restaurate per correggere alcuni difetti tipici e renderne più chiaro il soggetto. Si applicano delle tecniche di analisi che consentono di valutare l’autenticità del contenuto o l’eventuale presenza di alterazioni.
Incident response e verifica delle intrusioni
Collaboro con i team di sicurezza in ottica preventiva per implementare procedure di prevenzione e gestione degli incidenti informatici. Tramite l’analisi dello stato attuale dell’infrastruttura aziendale si possono quindi predisporre contromisure e protocolli operativi.
In seguito ad attacchi, accessi abusivi o cancellazioni fraudolente mi occupo di analizzare i sistemi colpiti per svelarne la causa radice. L’obiettivo è determinare cosa è successo, come è stato possibile, chi è il responsabile e cosa ne è stato delle informazioni confidenziali.
Parametri da valutare
La scelta di un consulente informatico forense dovrebbe essere valutata con cura, considerando molte variabili e mirando a scegliere un professionista di fiducia. Di seguito vengono proposti solamente alcuni spunti per poter effettuare la scelta con coscienza.
Alcuni interrogativi utili sul consulente sono:
- È un esperto della disciplina con una Laurea scientifica in Informatica? O è un economista, ragioniere, umanista, giurista, ecc… che si è successivamente “reinventato” informatico?
- Quali conoscenze possiede nell’ambito dello sviluppo software, l’analisi di sicurezza e il reverse engineering (analisi “a scatola chiusa”) di programmi, app e siti web?
- Può fornire una consulenza tecnicamente approfondita e corretta su sistemi operativi, file system, architetture di rete, protocolli di comunicazione e algoritmi?
- Nell’attività lavorativa utilizza esclusivamente software di terze parti o studia e realizza programmi per l’analisi forense?
- Applica le linee guida e best practice internazionali per l’acquisizione e l’analisi di evidenze digitali?
Per quanto mi riguarda possiedo la Laurea Magistrale in Informatica (oltre alla Laurea Triennale nella medesima disciplina e il diploma di Perito Capotecnico in Informatica Industriale) e ho maturato esperienza nello sviluppo di software a vari livelli, dai siti web alle app, da piccoli programmi a grandi progetti di svariati mesi. Mi occupo di analizzare la sicurezza delle applicazioni web ed effettuo il reverse engineering dei protocolli non documentati utilizzati da dispositivi e app.
La mia tesi di laurea verteva sull’analisi e la ricostruzione di file system NTFS, la tecnologia più diffusa in quanto utilizzata dai sistemi operativi Windows.
Lavoro con strumenti di digital forensics proprietari e open source. Non sono molto favorevole alla Push-Button Forensics, in quanto tende a funzionare solo nei casi più semplici e non fornisce un alto valore aggiunto all’attività di analisi.
Ho realizzato strumenti come RecuperaBit, il software che implementa le mie tecniche di ricostruzione di file system NTFS danneggiati, e Carbon14, un programma per datare le pagine web. Sono l’autore di diversi script per l’estrazione dei filmati dai siti delle principali emittenti nazionali.
I processi che seguo sono aderenti alle best practice internazionali, tra cui le linee guida dello United States Department of Justice e quelle della Association Of Chief Police Officers del Regno Unito.
Richiesta di informazioni
Potete utilizzare il seguente modulo per richiedere un preventivo o maggiori informazioni sui servizi di informatica forense.