ANALISI FORENSE
COSA è L’informatica forense è la scienza che studia l’individuazione, la conservazione, la protezione, l’estrazione, la documentazione, l’impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico. In Italia, la legge di riferimento che definisce come utilizzare a livello giuridico i risultati di un’attività di analisi forense in tribunale, è la legge 18 marzo 2008 n. 48, nota anche come “Legge di ratifica della Convenzione di Budapest”. Attualmente in Italia le norme in vigore prevedono:
• Sanzioni sempre più pesanti per i reati informatici;
• Norme di contrasto sempre più forti contro la pedopornografia in rete;
• Sanzioni anche a carico delle società;
• Possibilità per le forze dell’ordine di chiedere al provider il congelamento dei dati telematici per 6 mesi;
• Maggiori tutele per i dati personali.
02 • ANALISI FORENSE
ESEMPIO DI APPLICAZIONI iRecovery, azienda leader nel mercato del recupero dati, della sicurezza informatica e dell’analisi forense, è oggi in grado di potervi offrire un servizio professionale di investigazione forense volto ad analizzare qualsiasi attrezzatura elettronica con potenzialità di memorizzazione dei dati. Grazie al servizio offerto dai nostri laboratori sarà possibile individuare, ad esempio:
• Frodi in ambiente elettronico;
• Infrazioni relative ai contenuti come la pedopornografia;
• Infrazioni contro il copyright;
• Infrazioni relative alla riservatezza dei dati;
Tutto ciò, unito al più elevato know-how e ai continui investimenti e ricerca nell’ambito informatico e forense, permettono di avere il miglior risultato possibile ad oggi sul mercato nell’ambito dell’analisi del dato.
SERVIZI CHE POSIAMO OFFRIRE La nostra consulenza in informatica forense, di tipo Digital Computer Forensic Expert, permette oggi di:
• Analizzare il contenuto di qualsiasi postazione computer o dispositivo mobile, quali pc desktop, mac, linux, smartphone android e apple, tablet, portatile, workstation e server.
• Eseguire operazioni specifiche di analisi, quali: ü
File Analysis (per il confronto e l’analisi del codice sorgente e del codice di sicurezza per evidenziare violazioni del copyright e furti di segreto commerciale)
ü
Document Metadata Extraction (estrazione completa dei metadati dei singoli file)
ü
Memory Imaging (analisi della memoria fisica del computer con diversi strumenti al fine di accertare lo stato del sistema, estrarre eventuali artefatti, e controllare che l’immagine sia stata creata correttamente e rifletta accuratamente il sistema da cui è stata presa )
ü
Memory Analysis (strumenti per la cattura e l’analisi della memoria fisica e virtuale)
ü
Network Forensics (per comprendere eventi di rete prima e dopo un evento specifico )
ü
Logfile Analysis (analisi dei file di log che vengono utilizzati per mantenere un registro delle attività del sistema operativo o delle applicazioni).
• Estrarre la cronologia delle visite sui siti web
• Individuare i testi presenti sui social network o nelle chat frequentate dall’utente
• Evidenziare la presenza di partizioni nascoste nel computer o di cartelle crittogra fate e accedere ai loro contenuti
• Generare una lista completa di tutti i supporti che sono stati inseriti nel computer analizzato con date o ora del loro ultimo utilizzo
• Riscostruire tutte le attività svolte da un utente su di un computer windows, linux o Apple, come tutti gli orari ed i giorni di accesso, le email inviate, i files copiati su supporti esterni, i programmi e i servizi online ed offline utilizzati, tracciando in questo modo tutto il flusso dei dati.
• Effettuare una copia forense “bit-to-bit” dei dischi e dei dispositivi analizzati, tramite write blocker e strumentazione software dedicata.
• Ricevere supporto alle indagini giudiziali sia in ambito penale che civile, grazie alla collaborazione di uno studio legale di nostra fiducia specializzato in tematiche di informatica forense.
04 • ANALISI FORENSE
TECNOLOGIE UTILIZZATE iRecovery utilizza programmi di analisi forense e investigazione informatica altamente specializzati. Grazie all’utilizzo di programmi altamente specializzati saremo in grado di : 1. Creare la “Signature o Firma del disco”, ovvero la generazione di una firma istantanea comprensiva della struttura delle directory, che include informazioni sui file contenuti, a livello di percorso, dimensione e attributi. Tale firma digitale permette di monitorare i cambiamenti che sono avvenuti nel disco in esame, ovvero le modifiche a una struttura di directory, come ad esempio i file che sono stati creati, modificati e cancellati che possono essere identificati grazie a questa operazione dal confronto di due firme. Queste differenze possono identificare rapidamente eventuali file di interesse su una macchina sospetta, come anche il software che è stato installato, o file di prova eliminati. 2. Eseguire la creazione di un indice che consenta al ricercatore di eseguire ricerche veloci, basate sui contenuti attraverso l’intera unità o una sezione del disco. Questo processo comporta la scansione del contenuto dei file e delle e-mail sul disco rigido, e quindi la costruzione di un indice delle parole trovate. 3. Ricercare all’interno dell’Indice creato con criteri molteplici. 4. Ricercare tutte le attività compiute da quel computer, come ad esempio siti web a cui si ha avuto accesso, unità USB, reti wireless, e download recenti. Ciò è particolarmente utile per identificare tendenze e modelli predefiniti di comportamento degli utenti, oltre che ovviamente trovare qualsiasi materiale o file che sia stato aperto nel periodo di analisi selezionato. 5. Ricercare Files Perduti. Ciò è particolarmente utile per il recupero di file che l’utente potrebbe aver tentato di distruggere. 6. Ricercare Files per i quali è stata modificata di proposito estensione per nasconderli, per verificare se il formato del file corrisponde al suo formato effettivo. 7. Esplorare File di Sistema senza modificarne gli attributi o le date di accesso e lettura. 8. Ricercare le password presenti nel computer. 9. Creare un’immagine del disco per produrre evidenze in sede legale.