Home / Informatica Forense e Recupero Dati

 

Un riassunto dei servizi che offro nell’ambito dell’Informatica Forense, del Recupero di dati danneggiati o persi, e sulla sicurezza informatica in generale.

INFORMATICA FORENSE | COMPUTER FORENSIC

L’informatica forense si occupa dell’identificazione, dell’acquisizione, dell’analisi e della documentazione dei reperti informatici al fine di ricavare elementi probatori (digital evidence) in procedimenti civili e penali.
La “digital evidence” (evidenza digitale) può essere definite come qualsiasi informazione con valore probatorio che sia memorizzata o trasmessa in forma digitale e che può essere estratta da dispositivi digitali quali personal computer, notebook, hard disk, USB drive, dispositivi di memoria SSD, tablet, smartphone, SIM card ecc.
L’informatica forense assume un ruolo fondamentale in tutti i contesti dove sia richiesto acquisire e analizzare elementi di prova, anche non necessariamente connessi a reati informatici, ossia in campo civile, commerciale, giuslavoristico e fiscale.
Le consulenze fornite dall’Istituto, riguardano un’ampia gamma di investigazioni informatiche effettuate da esperti certificati i quali si avvalgono di software all’avanguardia utilizzati dalle forze di polizia di tutto il mondo, come Encase Forensics®, Accessdata FTK®, Cellebrite UFED®, Oxygen Forensics Detective®, Magnet Axiom® ecc.
Le procedure utilizzate dagli esperti dell’Istituto sono conformi alle “best practices internazionali in materia di digital forensics (NIST, ISO 27037 ecc.), in armonia con la legge 18 marzo 2008, n. 48 recante la “Ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica” di Budapest del 23 novembre 2001. Da ciò ne deriva la garanzia relativa all’integrità e alla validità dei reperti informatici originali e dei dati ricavati da essi.
Le investigazioni condotte dagli esperti dell’Istituto includono:
  • i computer e i dispositivi di memorizzazione (computer forensics)
  • i dispositivi mobili (mobile forensics) come i cellulari, gli smartphone, i tablet, le SIM card e i GPS ecc.
  • le reti Internet e Intranet (network forensics) inclusi la posta elettronica, i social network, gli FTP, i peer to peer, Skype ecc.
  • le analisi di software (software forensics) quali, ad esempio le verifiche delle specifiche del software rispetto al contratto
  • sistemi di sorveglianza e analisi delle immagini (video & image forensics)
Quelli appena citati sono i campi di applicazione principali ma l’Istituto è in grado di fornire consulenza tecnica anche in molti altri contesti specialistici nell’ambito dei cosiddetti “high-tech crimes”.

Si effettuano a richiesta perizie informatiche forensi, attraverso l’utilizzo di procedure apposite e di software forensi certificati.

SERVIZI OFFERTI AL CLIENTE PER PERIZIE INFORMATICHE

Perizie Informatiche e Consulenza Tecnica di Parte durante le fasi di:

  • sequestro;
  • ispezione;
  • incidente probatorio;
  • accertamento tecnico preventivo;
  • accertamento tecnico ripetibile e irriperibile;
  • presenza in dibattimento;
  • relazione scritta;
  • perizia asseverate (a richiesta );
  • perizia tecnica ad uso legale e privato in computer forensics e investigazioni digitali;

Servizio specializzato e aggiornato per gestire al meglio le varie controversie:

  • acquisizione e duplicazione dei dati su supporti magnetici e ottici di qualsiasi capacità;
  • realizzazione della copia forense bit a bit;
  • messa in sicurezza dei dati nel rispetto della catena di custodia con calcolo degli Hash;
  • operazioni du qualsiasi supporto: hard disk, Nas, memory card, CD/DVD/Blue Ray Disc, lettori MP3, memorie USB, floppy disk e di qualsiasi altro supporto di memorizzazione dati.

Servizio di Analisi su sistemi operativi :

  • Windows;
  • Linux;
  • Apple;
  • con  ricostruzione delle attività svolte (navigazione su Internet, posta elettronica, installazione e utilizzo di software, copiatura di file, analisi delle immagini, analisi file di log, timeline), anche con analisi live.
  • Recupero di file cancellati, recupero chat di Facebook,  file temporanei, file nascosti, analisi dello spazio non allocato;
  • Recupero dati cancellati da qualsiasi supporto si memoria (chiavi USB, memory card, hard disk, SSD, navigatori satellitari, cellulari di ogni tipo, macchine fotografiche digitali …);
  • Recupero registri;
  • Criminal Profiling;

RECUPERO DATI PERSI O DANNEGGIATI

In informatica il recupero dati (o data recovery), consiste nel recupero di dati da supporti di memoria quando risultano danneggiati, corrotti o irraggiungibili.

Nel campo delle indagini giudiziarie, il recovery consiste nel recupero di materiale precedentemente transitato e/o cancellato, su computer di persone sottoposte ad indagini.

I supporti di memoria che possono essere sottoposti a recupero sono in pratica tutti i supporti di memorizzazione dei dati, anche se i più comuni sono, in ordine: hard disk, supporti removibili USB (chiave USB), schede di memoria, floppy, CD, DVD, nastri, supporti magneto-ottici.

I danni dei supporti possono essere di tipo fisico, oppure di tipo logico (a livello software), e possono provocare improvvisi arresti o indisponibilità del sistema e/o dei dati.

Danno Logico

In molti casi il danno che comporta la perdita di dati è di tipo logico, cioè è legato al sistema logico di memorizzazione ovvero il file system (vedi chkdsk e fsck per il recupero), ad errori dell’operatore o altro e non comporta un difetto fisico del supporto. Esso continua a funzionare normalmente, può essere riusato, ma i dati non sono più raggiungibili.

Diverse le cause, spesso legate al tipo di supporto. In quelli rimovibili tipicamente la perdita dei dati può essere causata da estrazione o scollegamento del supporto prima che siano stati effettivamente scritti i dati. Ciò è particolarmente frequente nei dispositivi digitali connessi tramite USB. In questi casi i dati non sono recuperabili in quanto non sono mai pervenuti nel supporto. Stesso dicasi per masterizzazioni di CD o DVD interrotte.

È invece possibile il recupero di dati in caso di cancellazione per errore. In questo caso è fondamentale agire correttamente e rapidamente, poiché il sistema operativo riusa molto velocemente gli spazi resi di nuovo disponibili. Anche in caso di malfunzionamenti del sistema operativo il recupero risulta probabile. Modificare il supporto, installare software di recupero nel disco in cui i dati sono persi è un’operazione sconsigliata per l’alto rischio di sovrascrivere le locazioni di memoria contenenti i dati persi. Le operazioni di recupero vanno svolte da personale addestrato a farlo o da ditte specializzate. È possibile utilizzare software specifici di recupero dati, purché si seguano attentamente le istruzioni e le avvertenze sopra citate.

Danno Fisico

In caso di danno fisico è raro invece che un intervento software sia risolutivo. Il danno fisico di solito si manifesta con blocchi della lettura, impossibilità completa di accesso al supporto, rumori anomali, bruciatura di componenti. Usualmente, gli interventi volti al recupero non sono alla portata dell’utente comune. Il recupero è possibile in ditte specializzate dotate di attrezzature specifiche e laboratori dotati di ambienti protetti (camera bianca).

A seconda del tipo di supporto la casistica e quindi il tipo di intervento differisce. Vanno almeno distinti i seguenti casi e problematiche:

Supporti a memorizzazione digitale (schede di memoria nei vari formati, memorie inglobate in supporti USB, chiavi USB)

Questi supporti hanno la loro principale caratteristica nell’assenza di parti in movimento. I dati vengono registrati in memorie digitali non volatili (flash memory). Sono quindi diffusi problemi nell’elettronica di memorizzazione o di controllo. In questi casi se il chip di memoria è ancora integro i dati possono essere estratti da esso e ricostruiti tramite specifici algoritmi software.

Supporti a memorizzazione ottica (CD, DVD, dischi magneto-ottici)

Questi supporti vengono letti da un raggio laser che percepisce il dato [binario] (1/0) a seconda della riflessione o non riflessione del raggio in modo inverso al loro processo di scrittura. Ne consegue che la pulizia del dispositivo di lettura e del supporto stesso è fondamentale. La rottura completa del supporto comporta molto spesso l’impossibilità di recupero, per difficoltà di allineamento delle tracce dati. Rotture parziali possono invece consentire il recupero. Graffi profondi possono essere eliminati tramite lucidatura meccanica, ma dipende dallo strato di materiale plastico presente sul fondo del disco, più alto nei dischi originali, meno nei masterizzati.

Supporti magnetici (hard disk, floppy disk, ZIP, DAT, etc)

Questi dispositivi memorizzano i dati su un substrato magnetico, in movimento rotatorio o lineare. Ne consegue che è importante preservare i supporti da campi magnetici e mantenere la pulizia dei supporti e dei lettori. Ciò è particolarmente vero nei floppy, ZIP, DAT e cassette in genere. In questi supporti il supporto magnetico non è in un contenitore sigillato e a lungo andare particelle di polvere possono penetrare alterando e degradando le caratteristiche magnetiche. Questi supporti sono anche molto sensibili alle condizioni di conservazione, ed alte temperature, esposizione diretta alla luce solare, campi magnetici (schermi video, telefonini e simili) possono modificare il supporto ed impedire la corretta lettura dei dati. In questi casi, oltre alla pulizia del supporto e del lettore, l’utente comune può fare poco altro.

Hard Disk

Discorso a parte meritano gli Hard Disk. Questi memorizzano i dati su uno o più piatti magnetici racchiusi in un contenitore metallico in cui l’aria presente viene altamente filtrata. I dati vengono letti e scritti sui piatti in rotazione da testine magnetiche che operano sulle due facce dei piatti, volando a pochi nanometri dalla superficie. Il tutto è comandato da un’elettronica di controllo. Va da sé che un disco rigido rappresenta il supporto più complesso, ed anche quello con più grande capacità di memorizzazione, giunta a 6 TB per supporto. Il danno fisico e conseguente perdita di dati su un hard disk può manifestarsi a carico dei suoi vari componenti e quindi:

  1. Problemi all’elettronica di comando, comprendente CPU, driver del motore, logica di lettura dei dati, preamplificazione dei segnali provenienti dalle testine, attuatore del movimento del braccio di lettura.
  2. Problemi nel firmware presente nell’elettronica di comando e/o nel disco stesso
  3. Problemi nelle testine di lettura e/o nel braccio di lettura
  4. Problemi nel motore di rotazione dei piatti
  5. Problemi nei piatti magnetici, decadimento o alterazione (graffi, righe) degli stessi

Per effettuare il recupero dati è necessario rimettere il disco rigido in condizione di funzionare anche momentaneamente. Ciò può essere ottenuto mediante la riparazione o sostituzione di alcuni componenti (elettronica, motore, testine), la riprogrammazione e correzione del firmware disco che “accoppia” card elettronica al disco. L’apertura del contenitore dei piatti deve essere effettuata in ambiente controllato (camera bianca) per impedire che particelle di polvere o altri contaminanti danneggino la superficie magnetica. La manipolazione dei piatti deve inoltre impedire che l’orientamento angolare tra piatti e motore e tra i piatti stessi vari anche di pochi micron, pena la perdita definitiva dei dati, che vengono memorizzati sequenzialmente sui vari piatti.

Ne consegue che il recupero dei dati può essere effettuato solo da personale competente o ditte specializzate che posseggano un’adeguata attrezzatura elettronica, strumenti meccanici di alta precisione, hardware e software dedicato per la riprogrammazione del firmware ed il pilotaggio dei dischi in “factory mode”, un ambiente che permetta la lavorazione all’interno dei dischi senza contaminazione di agenti esterni.

IN GENERALE SULLA SICUREZZA INFORMATICA

La sicurezza informatica è quella branca dell’informatica che si occupa della salvaguardia dei sistemi da potenziali rischi e/o violazioni dei dati.

La protezione dagli attacchi informatici viene ottenuta agendo su più livelli, da quello fisico (porre i server in luoghi sicuri e sorvegliati) a quello dell’autenticazione degli utenti e delle loro azioni, sia per l’accesso che per la modifica dei dati. Ad esempio, a carico delle imprese esistono precisi obblighi in materia di privacy.

Progettare un software “sicuro” significa prevenire eventi che possono produrre danni di qualsiasi gravità al sistema; programmi non sicuri implicano un eventuale accesso del sistema a terzi, ossia potenziali minacce a partire dai malware.

Le pratiche di sicurezza più comuni sui sistemi informatici prevedono antivirus e antispyware a difesa dei computer da software dannosi, e firewall a controllo degli accessi al sistema; nel caso di intrusione, sono consigliate tecniche di protezione dati come crittografia, steganografia e firma digitale; ultimo baluardo a seguito di un attacco vandalico vi è poi ripristinare il backup dei dati più sensibili.

Chi attacca i sistemi?

In generale, l’Hacking è l’atto di risolvere una situazione attraverso creatività e immaginazione. In ambito informatico, l’hacker studia ed analizza i sistemi, mosso da curiosità e sete di conoscenza. Cracker è invece colui che commette reati informatici alterando abusivamente un sistema, ad esempio rendendolo temporaneamente inutilizzabile. Il lamer è una sorta di cracker (o meglio, vorrebbe esserlo) agendo però con significativa inesperienza, copiando pedestremente script altrui.

Molti ex-cracker sono oggi dirigenti di società di sicurezza informatica o responsabili di questa in grandi multinazionali.[mentre altri sono in galera] Ciò dimostra che per capire le strategie migliori di sicurezza informatica è necessario prima entrare nella mentalità dell’attaccante per poterne prevedere ed ostacolare le mosse.

Le minacce:non solo i virus

Un malware è un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito.

Nell’uso comune, è però con virus che ci si riferisce alla generalità delle minacce informatiche; l’equivoco è anche alimentato dal fatto che gli antivirus permettono di rilevare e rimuovere anche altre categorie di software maligno, come Worm, Trojan, Keylogger, Spyware e Adware.

Esistono poi bug e backdoor: non necessariamente create con intento doloso, possono rivelarsi seri pericoli per i sistemi.

Le frodi informatiche

Esistono differenti tipologie di frodi informatiche. In generale, si tratta di intercettare dati sensibili, utilizzandoli in seguito per scopi malevoli.

Le frodi elettroniche sono cresciute in modo più che sensibile soprattutto con lo sviluppo dell’e-commerce, e con l’affinarsi dell’ingegneria sociale, cioè lo studio del comportamento individuale di una persona al fine di carpirne informazioni. Nelle mire dei delinquenti informatici vi è infatti l’accesso ad informazioni personali o riservate con finalità di furto, sia in termini di denaro, che d’identità; tra i meccanismi utilizzati, lo spamming ed il phishing.

In Italia, la frode informatica costituisce reato a tutti gli effetti, con fattispecie e pene differenti da quelle della truffa classica; l’istituzione è stata introdotta dalla legge n. 547/1993 e disciplinata dall’art. 640 ter del c.p.i..

 

Per la parte realtiva al recupero dati, la fonte è Wikipedia

Perla Sicurezza Informatica, la fonte è: Wikipedia (Portale Sicurezza Informatica)