Digital Forensics Lab

Dettagli
Creato: Giovedì, 22 Settembre 2011 11:00

La nuvola digitale nella quale è immersa la vita di ogni cittadino contiene informazioni rilevanti ai fini di indagine: il telefono, il navigatore satellitare, il personal computer, la macchina fotografica che quasi tutti usiamo quotidianamente, conservano tracce spesso labili e di difficile interpretazione, ma che possono determinare il successo e la rapidità di molte investigazioni.

Per la natura immateriale dei dati digitali, qualsiasi attività sui dispositivi che li contengono (come il semplice spostamento o l'accensione e persino una non attività come la conservazione in archivio) può determinare l'alterazione dei dati e la compromissione del loro valore legale. Quando occorra cristallizzare delle informazioni è quindi opportuno intervenire immediatamente ed in maniera sicura, con i metodi definiti dalla disciplina del cosiddetto incident response.

La ratifica della Convezione di Budapest sui Cybercrime (2001) nella Legge 48/2008 ha introdotto metodologie di Digital Forensics nel panorama normativo italiano. Il rilevamento da apparati digitali di dati destinati ad avere valore probante in giudizio richiede competenze, metodi e strumenti non comunemente presenti nei laboratori tecnici dove si effettuano le normali operazioni di manutenzione e riparazione.

 

COS'È LA DISCIPLINA DELLA DIGITAL O COMPUTER FORENSICS?

"La Computer Forensics è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico per essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l'esame metodologico dei sistemi informatici." (Wikipedia)

Lo Studio Fast Office dispone di specialisti, esperti dei vari aspetti della disciplina delle investigazioni nel mondo digitale, ed un laboratorio sempre a disposizione per attività di informatica forense.

Le strutture dedicate alla computer forensics, di cui è dotato il nostro studio professionale associato sono le seguenti.

  • Sala ad accesso ristretto, dedicata alle attività di computer forensics, con zone separate per le varie fasi delle operazioni.
  • Magazzino blindato per la conservazione delle evidenze.
  • Banco di lavoro con aree separate dedicate alle evidenze in fase di lavorazione ed ai supporti di destinazione
  • Set di prese di corrente protette da gruppo di continuità dedicato, per prevenire perdite dati.
  • Computer dedicato, disegnato specificamente per il trattamento delle prove in modalità non alternate, messo in sicurezza ed opportunamente protetto.
  • Procedure codificate di trattamento delle prove, ben collaudate ed in continuo aggiornamento in base alla nuove tecnologie

Gli strumenti utilizzati per l'estrazione forense dei dati sono i seguenti:

  • Write Blocker SATA/EIDE Tableau T35ES, dotato di relativo software.
  • Write Blocker USB Tableau T8-R2, dotato di relativo software.
  • Adattatore "Digitus USB Highspeed to Sata/Ide Adapter cable set"
  • Adattatore JMicron USB to ATA/ATAPI device Digitus DA-70148-1
  • Cablaggi ed adattatori vari (EIDE, USB, SATA, eSata, Firewire, Ehernet, Scsi, rs232, vga, hdmi ecc.)
  • Lettori Memory card CF(Compact Flash), CF Type II (Microdrive, Magicstor); SD(Secure Digital); MMC (Multi Media Card); MS (Memory Stick); SM (Smart Media); xD; Mini SD.
  • Software Helix 2.0 per attività forensi
  • Software FTK Imager versioni 2.5, 2.9 e 3.0  per attività forensi
  • Software di crittografia TrueCrypt
Su questa materia il nostro studio collabora in veste di consulente tecnico in indagini delle Procure della Repubblica di Firenze e Roma, ha svolto numerose consulenze tecniche d'ufficio per i Tribunali di Firenze e Prato, nonchè servizi di consulenza per Studi Legali ed Aziende nazionali ed internazionali.

I nostri servizi si concretizzano prevalentemente in:

  • Consulenza specializzata durante le fasi di sequestro, ispezione ed incidente probatorio
  • Acquisizione dei dati on-site mediante l'applicazione di tecniche adeguate alla copia forense (da hard disk, memorie USB, floppy, memory card, ecc.)
  • Hashing e messa in sicurezza dei dati nel rispetto della chain of custody
  • Analisi di sistemi Windows, Linux ed Apple alla ricerca delle prove
  • Analisi del traffico di dati in rete (c.d. sniffing)
  • Analisi di file di Log da Router, Firewall e IDS / IPS
  • Perizie e consulenze tecniche su telefoni cellulari, Smart Phones, SIM/USIM, navigatori GPS, CD, DVD, macchine fotografiche digitali, Apple iPOD, Sony PSP, lettori MP3
  • Recupero dei dati persi e cancellati
  • Conservazione dei dati
  • Cancellazione sicura dei dati
  • Reportistica finale dettagliata, da utilizzare in ambiti legali o di procedure interne all'azienda

I nostri servizi di consulenza in ambito di Computer Forensics ed Ethical Hacking sono destinati ai campi legale e aziendale, in particolare:

  • Autorità Giudiziaria (Pubblico Ministero, Giudice, Polizia Giudiziaria, ecc.)
  • Studi legali
  • Consulenti del lavoro
  • Commercialisti
  • Aziende
  • Assicurazioni
  • Banche ed Istituti di Credito
  • Pubblica Amministrazione
  • Investigatori privati

 

 
Legenda:
Individuazione: il primo e più importante passo che un digital forenser deve compiere prima di iniziare la sua investigazione, è quello di identificare la prova informatica e la sua possibile posizione. Una prova digitale può essere infatti contenuta in diverse tipologie di supporti, come hard disks, media rimuovibili oppure un log file su un server.
Trovare il dato informatico è una condizione necessaria per il digital forenser.
Conservazione: il digital forenser deve garantire il massimo impegno per conservare l'integrità della prova informatica. Il dato originale non deve essere modificato e danneggiato e quindi si procede realizzandone una copia (bit-a-bit), su cui il digital forenser compie l'analisi. Dopo aver effettuato la copia è necessario verificarne la consistenza rispetto al dato originale: per questo motivo si firmano digitalmente il dato originale e la copia, che devono coincidere
Protezione: il dato originale deve essere protetto nella maniera più idonea a seconda del supporto su cui si trova. Le cause di alterazione di un supporto magnetico e di un supporto ottico, ad esempio, sono ben differenti. Si deve inoltre garantire una catena di custodia, ovvero un documento che dica quello che è stato fatto e quali persone fisiche hanno avuto accesso al dato originale e alle copie effettuate
Estrazione: è il processo attraverso il quale il digital forenser, servendosi di diverse tecniche e la della sua esperienza, trova la posizione del dato informatico ricercato e lo estrae
Documentazione: l'intero lavoro del digital forenser deve essere costantemente documentato, a partire dall'inizio dell'investigazione fino al termine del processo. La documentazione prodotta comprende, oltre alla catena di custodia, un.analisi dei dati rinvenuti e del processo seguito. Un'accurata documentazione è di fondamentale importanza per minimizzare le obiezioni e spiegare come ripetere l'estrazione con un analogo processo sulla copia.