Informatica forense
La Computer Forensics, o informatica
forense, è la disciplina che si occupa
dell’identificazione, della conservazione,
dell’analisi e della documentazione dei
reperti informatici al fine di presentare prove
digitali valide in procedure civili e penali.
Computer Forensics

La Computer Forensics è la soluzione
corretta per riuscire a prevenire il furto di
dati, lo spionaggio industriale, l’accesso
abusivo ai sistemi informatici aziendali, i
danneggiamenti informatici e rispondere a
tutte le potenziali controversie legali.
passi che il digital forenser deve compiere
prima di iniziare la sua investigazione:

Individuazione: il primo e più importante
passo è quello di identificare la prova
informatica e la sua possibile posizione.
Una prova digitale può essere infatti
contenuta in diverse tipologie di supporti,
come hard disk, media rimuovibili oppure un
log file su un server.
Trovare il dato informatico è una condizione
necessaria per il digital forenser.
passi che il digital forenser deve compiere
prima di iniziare la sua investigazione:

Conservazione: il digital forenser deve garantire il
massimo impegno per conservare l'integrità della
prova informatica. Il dato originale non deve essere
modificato e danneggiato e quindi si procede
realizzandone una copia (bit-a-bit), su cui il digital
forenser compie l'analisi. Dopo aver effettuato la
copia è necessario verificarne la consistenza rispetto
al dato originale: per questo motivo si firmano
digitalmente il dato originale e la copia, che devono
coincidere.
passi che il digital forenser deve compiere
prima di iniziare la sua investigazione:

Protezione: il dato originale deve essere protetto
nella maniera più idonea a seconda del supporto su
cui si trova. Le cause di alterazione di un supporto
magnetico e di un supporto ottico, ad esempio, sono
ben differenti. Si deve inoltre garantire una catena di
custodia, ovvero un documento che dica quello che
è stato fatto e quali persone fisiche hanno avuto
accesso al dato originale e alle copie effettuate.
passi che il digital forenser deve compiere
prima di iniziare la sua investigazione:

Estrazione: è il processo attraverso il quale il
digital forenser, servendosi di diverse
tecniche e della sua esperienza, trova la
posizione del dato informatico ricercato e lo
estrae.
passi che il digital forenser deve compiere
prima di iniziare la sua investigazione:

Documentazione: l'intero lavoro del digital
forenser deve essere costantemente documentato, a
partire dall'inizio dell'investigazione fino al termine
del processo. La documentazione prodotta
comprende, oltre alla catena di custodia, un'analisi
dei dati rinvenuti e del processo seguito. Un'accurata
documentazione è di fondamentale importanza per
minimizzare le obiezioni e spiegare come ripetere
l'estrazione con un analogo processo sulla copia.
IL Software:
OSFORENSICS “ Investigatore informatico”

OSForensics è un software davvero molto
potente e ricco di funzionalità, che può essere
utilizzato per estrarre da un qualunque PC tutta
una serie di informazioni di particolare
rilevanza, come password, email,dati
sull’accesso e sull’utilizzo del sistema… è in
grado persino di recuperare dati cancellati ed è
avviabile da pendrive.
Utilizzo del software:
Installazione su USB portable





Avviamo l’eseguibile OSForensics e scegliamo di
utilizzare la versione free.
Dal menù a sinistra scegliamo “Install to USB”
Selezioniamo il driver e creiamo una nuova cartella
al suo interno, diamole un nome.
Scegliamo la versione Evalutation e Install
Avviamo OSForensics.exe
IN QUESTA GUIDA






aprire un incartamento per le indagini
Preparare l’hard disk da analizzare
Risalire alle password celate in un sistema
Ricercare le email, anche quelle cancellate
Eseguire un’analisi dettagliata dei log
File cancellati
Create Case

La prima operazione da compiere è quella di
aprire un incartamento per le indagini,
usando il gergo dei vecchi investigatori. Noi
parliamo di informatica e cosi apriremo una
cartella, nella quale andremo ad archiviare
tutti i risultati delle nostre analisi.
Create Case

Nella schermata principale clicchiamo su Start e
quindi sulla prima icona in alto: Create Case. Come
tutte le cartelle documentali che si rispettino, anche
per quella digitale servono alcune informazioni per
archiviarla correttamente. Quindi, in Case name
indichiamo un nome per il caso e quello
dell’investigatore (Investigator), e lasciamo invariati i
campi Tìmezone. Default Drive e Case folder. Con
un clic su OK confermiamo le nostre scelte e
proseguiamo.
Preparare l’hard disk da analizzare:
indicizziamo il contenuto del PC



Dall’interfaccia principale di OSForensics
selezioniamo Create Index, nella schermata che
appare scegliamo i contenuti da indicizzare
(esempio Emails, Foto, PDF e Zip) e next.
Lasciamo attiva la voce Whole Drive per indicizzare
tutto il contenuto dell’HardDisk. Clicchiamo su
Advanced Options se vogliamo personalizzare.
Next e in Index Title diamo un nome all’index.
Clicchiamo Start indexing per avviare, la procedura
durerà diversi minuti, a seconda delle dimensioni
dell’Harddisk.
Risalire alle password celate in un sistema

Rechiamoci nel menù Passwords, noteremo diverse
schede. La prima ci permette di fare una ricerca
generica. Clicchiamo su Retrieve Password, aspettiamo
un attimo che il programma effettui la ricerca per avere i
risultati nella parte centrale della scheda. In pochi
secondi ecco a nostra disposizione i siti visitati, lo
username e la password utilizzata per accedervi, il
browser utilizzato, eventuale posizionamento in
blacklist, utente che ha effettuato l’accesso e il
percorso.
Ricercare le email, anche quelle cancellate
1) Spostiamoci ora su Search index e in Enter
Search Words, scriviamo una parola chiave
che potrebbe essere contenuta nelle email
e in Index to Search indichiamo dove
cercarla. Search per avviare l’operazione.
Ricercare le email, anche quelle cancellate
2) Terminata la ricerca, i risultati verranno
elencati nella schermata Search Index
ordinati per tipologia. Spostiamoci nel tab
Email. Avremo un’anteprima di quelle
contenenti la parola chiave. Per leggerle
selezioniamole col tasto destro e clicchiamo
Open.
Ricercare le email, anche quelle cancellate
3) Se non troviamo indizi spostiamoci nel tab
Unallocated. Qui vengono elencati quegli
elementi che in una ricerca normale non
compoarirebbero perché cancellati o non
più leggibili. Per leggerle selezioniamole col
tasto destro e clicchiamo Open.
Eseguire un’analisi dettagliata dei log
1) Spostiamoci in Recent Activity, impostiamo
dei parametri di ricerca sia temporali, sia
per i dischi su cui cercare, clicchiamo su
Scan. Lasciando All nel menù Show only
verranno elencate tutte le attività recenti:
accessi a siti Web, chiavette inserite e ogni
azione effettuata.
Eseguire un’analisi dettagliata dei log
2) Se nel menù Show only selezioniamo la
voce Browser History, ci vengono
visualizzate le azioni compiute online.
Siamo in grado di vedere i download
effettuati e i log delle chat.
3) Possiamo anche avere una panoramica
generale delle operazioini compiute nel
periodo preso in esame. Nel menù Show
Only selezioniamo Events.
File cancellati

Spostiamoci in Deleted Files Search, clicchiamo sul
pulsante Config e, nella finestra che appare,
impostiamo il menù Quality su Exellent or Good per
ottenere risultati migliori. Clicchiamo Search e, dopo
pochi secondi ecco l’elenco di tutti i file cancellati.
Per ognuno è indicato un numero che rappresenta
l’integrità e la possibilità di recuperarlo.
Selezioniamo quello che ci interessa e, tasto destro,
clicchiamo Save Deleted File.
MOBILE FORENSICS

II cestino di Windows non basta a cancellare tutti i
file che transitano dall’hard disk di qualsiasi PC. Lo
stesso accade nel mondo della telefonia mobile…
Seppur basta un semplice tap per cancellare una
foto, un messaggio di testo, una chiamata inviata o
ricevuta da un moderno smartphone, una traccia del
file in questione è destinata a rimanere indelebile
nella memoria del telefonino.
MOBILE FORENSICS

Utilizzando infatti specifici software chiunque
è in grado di ricostruire l’intera storia di uno
smartphone, riuscendo, in alcuni casi,
addirittura a risalire alla posizione dalla quale
è partita una chiamata o una nuova
connessione ad Internet.
Lo Sherlock Holmes del telefonino

Tali software, come ad esempio Oxygen
Forensic Suite (www.oxygen-forensic.com),
nascono con un preciso scopo:
agevolare le indagini delle autorità
giudiziarie. Ma la possibilità di scaricarli
gratuitamente dal Web ha fatto sì che
ognuno potesse diventare investigatore
privato per un giorno.
Lo Sherlock Holmes del telefonino

L’utente deve infatti limitarsi al semplice
collegamento del telefonino al PC utilizzando
un cavo USB o la connettività BlueTooth o
infrarossi. Dopo solo qualche minuto Oxygen
Forensic Suite installa nella memoria interna
del telefonino una piccola applicazione che si
occupa del trasferimento di tutti” i dati sul PC
per effettuarne poi un’approfondita analisi .
Utile nei casi più svariati

Ma tralasciando per un attimo l’obiettivo malevolo di
chi vuole invadere la privacy altrui o quello benevolo
della legge che fa il suo dovere, l’opportunità di poter
utilizzare software di questo genere potrebbe
rivelarsi utile anche nel caso in cui aveste cancellato
erroneamente un messaggio di posta elettronica, un
SMS o un importantissimo numero dalla rubrica.
Infatti, Qxygen Forensic Suite cataloga ogni tipologia
di dati in maniera chiara e precisa.
PROVATE NEL VOSTRO PC PER
SCOPRIRE IL LIVELLO DI SICUREZZA
riuscire a carpire le informazioni
riservate archiviate sui PC è un’attività
illegale e penalmente perseguibile.
 Meditate gente…. Meditate!
