{"id":2457,"date":"2025-09-05T19:39:41","date_gmt":"2025-09-05T17:39:41","guid":{"rendered":"https:\/\/www.fabriziogiancola.eu\/?p=2457"},"modified":"2025-09-05T19:41:08","modified_gmt":"2025-09-05T17:41:08","slug":"acquisizione-forense-principi-metodologie-e-strumenti-per-la-gestione-degli-incidenti-informatici","status":"publish","type":"post","link":"https:\/\/www.fabriziogiancola.eu\/index.php\/2025\/09\/05\/acquisizione-forense-principi-metodologie-e-strumenti-per-la-gestione-degli-incidenti-informatici\/","title":{"rendered":"Acquisizione forense: principi,  metodologie e strumenti per la gestione degli incidenti informatici"},"content":{"rendered":"\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-eeebf44035a3d2d6c71e4f9c6e3b8938\"><strong>Introduzione<\/strong><\/p>\n\n\n\n<p>Nel contesto della sicurezza nazionale, l\u2019acquisizione forense delle evidenze digitali riveste un ruolo cruciale nella gestione degli incidenti informatici. Un <strong>CSIRT\/SOC <\/strong>(Computer Security Incident Response Team\/Security Operations Center) deve assicurare che ogni fase \u2013 dalla <strong>profilazione del sistema e triage iniziale<\/strong>, fino alla copia forense dei dati \u2013 sia condotta in modo rigoroso e conforme agli standard. Tali pratiche garantiscono sia la <strong>continuit\u00e0 operativa <\/strong>degli enti coinvolti che la <strong>valorizzazione probatoria <\/strong>delle informazioni raccolte, permettendo eventuali azioni legali. In questo articolo esamineremo le principali metodologie di acquisizione forense, distinguendo tra scenari <em>live <\/em>e <em>post-mortem<\/em>, le tecniche di copia bitstream di dischi e dump di RAM, gli artefatti tipici dei sistemi Windows e Linux, nonch\u00e9 gli strumenti hardware\/software disponibili. Faremo riferimento ai <strong>principali standard internazionali <\/strong>(ad es. ISO\/IEC 27037, NIST SP 800-86, RFC 3227) e con esempi concreti in contesto italiano.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-b4bfd15d148091c802a953a42b63f7c4\"><strong>System Profiling e Triage<\/strong><\/p>\n\n\n\n<p>La fase di <strong>triage forense <\/strong>consiste nel valutare rapidamente uno scenario compromesso e <strong>dare priorit\u00e0<\/strong> <strong>alle evidenze digitali <\/strong>in base alla loro rilevanza e urgenza. In pratica, significa eseguire una <strong>profilazione del sistema <\/strong>coinvolto nell\u2019incidente: identificare il tipo di host (es. server, workstation), il sistema operativo e versione, i servizi attivi, gli utenti connessi e altri elementi chiave, ancor prima di procedere all\u2019acquisizione completa. Lo scopo del triage \u00e8 individuare subito i dati pi\u00f9 critici \u2013 ad esempio processi sospetti in esecuzione, connessioni di rete attive verso IP anomali, file di log che mostrano segni di manomissione \u2013 che richiedono <strong>azione immediata <\/strong>o conservazione urgente. Questa rapida valutazione permette al responsabile di decidere i passi successivi: ad esempio, se <strong>isolare il sistema <\/strong>dalla rete per contenere una minaccia in corso, oppure se mantenere la macchina accesa per acquisire dati volatili (RAM, processi, ecc.) prima che vadano persi.<\/p>\n\n\n\n<p>Durante il triage, \u00e8 fondamentale rispettare il <strong>principio dell\u2019ordine di volatilit\u00e0 <\/strong>indicato dall\u2019RFC 3227: occorre procedere raccogliendo prima i dati pi\u00f9 volatili e soggetti a cambiamento, per poi passare a quelli meno volatili. Ci\u00f2 significa, ad esempio, che su un sistema attivo si dovrebbero salvare immediatamente informazioni come il contenuto della memoria RAM, la tabella dei processi e le connessioni di rete, prima di acquisire i dati persistenti su disco. Allo stesso tempo, bisogna evitare manovre che possano alterare o distruggere le evidenze: <strong>non spegnere il sistema prematuramente<\/strong> (l\u2019attaccante potrebbe aver impostato script di wipe all\u2019arresto), e utilizzare strumenti \u201cpuliti\u201d (da supporti esterni) invece di quelli presenti sul sistema compromesso, che potrebbero essere stati modificati dall\u2019attaccante. Il responsabile forense deve istruire i primi soccorritori digitali (first responder) a seguire procedure codificate \u2013 spesso definite in <strong>playbook di incidente <\/strong>\u2013 per effettuare un triage metodico. Ad esempio, pu\u00f2 essere prevista una checklist: identificare e fotografare la schermata attiva, annotare o esportare rapidamente la lista dei processi e delle connessioni (usando tool come <em>netstat <\/em>o <em>PowerShell <\/em>in modalit\u00e0 forense), verificare la presenza di dispositivi USB collegati, e controllare il clock di sistema (per future correlazioni temporali). Queste attivit\u00e0 di <strong>profilazione iniziale <\/strong>forniscono un quadro dello stato del sistema utile per orientare l\u2019indagine e decidere quali evidenze raccogliere con priorit\u00e0. In sintesi, <strong>system profiling e triage <\/strong>rappresentano la prima linea di azione di un responsabile CSIRT nella fase di <strong>Preparation\/Identification <\/strong>di un incidente, gettando le basi per un\u2019acquisizione forense mirata ed efficace.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-0bbb9daa3d833d22753270c4d39cc534\"><strong>Processo di acquisizione: modalit\u00e0 <em>live <\/em>vs <em>post-mortem<\/em><\/strong><\/p>\n\n\n\n<p>Una volta completato il triage, si passa al <strong>processo di acquisizione delle evidenze digitali <\/strong>vero e proprio, che pu\u00f2 avvenire in due modalit\u00e0 principali: <strong>live <\/strong>(a sistema acceso) o <strong>post-mortem <\/strong>(a sistema spento). La scelta dipende dalla situazione: in molti casi di risposta a incidenti, \u00e8 necessario operare <em>live forensics <\/em>per catturare dati volatili critici; altre volte, soprattutto in scenari di analisi forense tradizionale (es. sequestro di un computer in un\u2019indagine giudiziaria), si opta per spegnere il sistema e lavorare su copie a freddo per minimizzare modifiche.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Acquisizione live<\/strong><\/p>\n\n\n\n<p>In questa modalit\u00e0 si raccolgono evidenze a sistema funzionante. I vantaggi sono evidenti: si possono preservare informazioni che altrimenti andrebbero perse con lo spegnimento \u2013 ad esempio il contenuto della RAM, le chiavi di cifratura in uso, processi e connessioni attive, ecc. Tuttavia, l\u2019acquisizione live <strong>comporta inevitabilmente qualche alterazione <\/strong>dello stato del sistema (ogni comando eseguito pu\u00f2 modificare dati, come i timestamp di ultimo accesso) e va quindi condotta con strumenti e metodologie che riducano al minimo tale impatto. Best practice in questo ambito (formalizzate in ISO 27037 e RFC 3227) includono: usare tool forensi dedicati eseguendoli da supporti in sola lettura (per non introdurre nuovi file sul disco target) e documentare ogni operazione compiuta. Un esempio tipico di acquisizione live \u00e8 il <strong>dump della memoria RAM <\/strong>(vedi sezione dedicata) oppure l\u2019estrazione di informazioni volatili tramite script di risposta all\u2019incidente. In situazioni dove si sospetta la presenza di malware avanzati o <strong>tecniche anti-forensi <\/strong>(come il timestomping o la cancellazione dei log di evento), l\u2019analisi live pu\u00f2 rivelare indizi (processi anomali in esecuzione, moduli kernel caricati in memoria) che un\u2019analisi post-mortem potrebbe non evidenziare. \u00c8 importante anche valutare i rischi: ad esempio, <strong>scollegare la rete <\/strong>di una macchina compromessa pu\u00f2 essere opportuno per isolarla, ma va fatto in modo controllato (un malware potrebbe monitorare la connettivit\u00e0 e reagire cancellando tracce se \u201cperde\u201d la rete ). Il responsabile deve quindi decidere, caso per caso, quali step eseguire live e in che sequenza, bilanciando la <strong>conservazione massima delle prove <\/strong>con la <strong>stabilizzazione dell\u2019incidente <\/strong>(es. evitare che l\u2019attacco prosegua).<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Acquisizione post-mortem<\/strong><\/p>\n\n\n\n<p>Consiste nell\u2019acquisire le evidenze a sistema spento, tipicamente tramite la rimozione dei supporti di memoria (hard disk, SSD) e la successiva <strong>copia forense bitstream <\/strong>in laboratorio. Questo approccio ha il vantaggio di assicurare che il <strong>supporto originale non venga modificato ulteriormente <\/strong>dal momento del sequestro in poi. Nel momento in cui si spegne un computer, per\u00f2, <strong>si perde tutto il contenuto volatile<\/strong>: memoria RAM, stato dei processi, informazioni non salvate su disco, ecc. Pertanto, la decisione di spegnere dovrebbe essere ponderata: ad esempio, se si ritiene che <strong>le informazioni critiche risiedano su disco (non volatile) <\/strong>e non vi sia particolare interesse per lo stato attuale della RAM, pu\u00f2 essere preferibile rimuovere l\u2019alimentazione immediatamente per congelare la situazione. Al contrario, se si sospetta che informazioni vitali (come chiavi di cifratura, malware in RAM o volumi cifrati aperti) siano presenti in memoria, <strong>\u00e8 fondamentale lasciare il sistema acceso <\/strong>finch\u00e9 non si sia effettuato un dump della memoria e di eventuali dati volatili. L\u2019ISO\/IEC 27037 fornisce linee guida proprio per decidere queste priorit\u00e0: \u201cse dati volatili di rilievo sono presenti, raccoglierli prima di rimuovere l\u2019alimentazione; se invece il focus \u00e8 sui dati non volatili su disco, si pu\u00f2 procedere allo spegnimento in sicurezza\u201d. In modalit\u00e0 post-mortem, l\u2019operatore pu\u00f2 impiegare tecniche come il <strong>\u201cpull the plug\u201d <\/strong>(scollegare brutalmente l\u2019alimentazione anzich\u00e9 seguire la normale procedura di shutdown, per evitare che eventuali routine di spegnimento dell\u2019attaccante distruggano dati). Naturalmente ci\u00f2 potrebbe generare qualche inconsistenza nei file (es. journal non \u201cpuliti\u201d), ma si preferisce questo rischio piuttosto che perdere prove volatili preziose. Una volta spento e messo in sicurezza il sistema, si passa all\u2019imaging forense dei supporti (illustrato nella sezione successiva). L\u2019acquisizione post-mortem \u00e8 tipica nelle operazioni di polizia giudiziaria (sequestri) e nelle analisi che non richiedono intervento immediato sul campo. Un responsabile CSIRT deve saper indicare quando \u00e8 appropriato seguire l\u2019una o l\u2019altra modalit\u00e0, spesso anche combinandole (es.: <strong>acquisizione ibrida<\/strong>, dove prima si esegue un dump di RAM live e poi si spegne per copiare il disco). In ogni caso, che l\u2019acquisizione sia live o a freddo, vanno seguiti i protocolli di <strong>documentazione e catena di custodia <\/strong>per garantire integrit\u00e0 e autenticit\u00e0 delle evidenze raccolte.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-8c3ebf5f9368b2d866e6e8e9a69878a3\"><strong>Acquisizione bitstream di memorie di massa<\/strong><\/p>\n\n\n\n<p>La <strong>copia forense bitstream <\/strong>di un supporto di memoria di massa (dischi fissi, SSD, memorie esterne) \u00e8 un processo centrale nell\u2019informatica forense. A differenza di una normale copia file-per-file, l\u2019imaging bitstream duplica <em>bit a bit <\/em>l\u2019intero contenuto del supporto \u2013 includendo settori non allocati, spazio slack, aree nascoste \u2013 in modo da ottenere un clone esatto dell\u2019originale&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; . Questo \u00e8 fondamentale perch\u00e9 file cancellati o metadata residuali, non visibili al file system attivo, possono contenere informazioni cruciali in un\u2019indagine.<\/p>\n\n\n\n<p><strong>Procedura di imaging: <\/strong>il processo standard prevede di collegare il supporto originale a una <strong>workstation forense <\/strong>(o a un dispositivo duplicatore) in modalit\u00e0 <em>read-only <\/em>e creare un file immagine o una copia clonata su un supporto di destinazione pulito. Una misura imprescindibile \u00e8 l\u2019uso di un <strong>write-blocker<\/strong>, un dispositivo hardware (o software) che si interpone tra il drive di origine e il sistema di acquisizione, e impedisce qualsiasi comando di scrittura verso il dispositivo sorgente. In questo modo, si pu\u00f2 leggere ogni settore del disco senza rischiare modifiche accidentali (ad esempio aggiornamenti di timestamp di accesso, incrementi di contatori SMART, ecc.). I write-blocker hardware sono tipicamente connessi via USB\/SATA o tramite dock, e devono essere <strong>verificati <\/strong>prima dell\u2019uso; molti modelli forniscono indicatori che confermano lo stato di sola lettura. \u00c8 importante che il personale ricontrolli che il blocco in scrittura sia attivo per <em>tutti <\/em>i dispositivi connessi e che i blocker siano periodicamente testati (come raccomandato anche dai laboratori NIST). In alternativa o in aggiunta, su sistemi <em>nix si pu\u00f2 montare il supporto in modo da non scrivere journal (opzione <\/em>ro,noload* per NTFS, ad es.), ma il dispositivo hardware \u00e8 preferibile perch\u00e9 pi\u00f9 affidabile.<\/p>\n\n\n\n<p>Durante l\u2019imaging, si genera di solito un <strong>hash crittografico <\/strong>(tipicamente MD5 e\/o SHA-1\/SHA-256) sia del contenuto originale che della copia, per poter verificare in ogni momento la corrispondenza (integrit\u00e0) tra i due. Un responsabile deve esigere che al termine dell\u2019acquisizione questi hash combacino e che vengano registrati nei verbali. Come sottolineato da NIST, se si prevede un possibile uso probatorio, \u00e8 opportuno <em>conservare l\u2019originale intatto come evidenza <\/em>(ad esempio sigillando il disco originale) ed effettuare tutte le analisi successive <strong>sulla copia<\/strong>. L\u2019ISO 27037 e le best practice internazionali insistono molto su questo punto: l\u2019originale diventa <strong>evidence master <\/strong>conservato a fini legali, mentre la copia forense (opportunamente verificata) \u00e8 quella su cui gli analisti lavorano, eventualmente potendone fare ulteriori copie di lavoro. Ogni passo eseguito deve essere <strong>documentato dettagliatamente<\/strong>: oltre ai comandi o software utilizzati per l\u2019imaging, vanno annotati ad esempio il modello e seriale del disco originale, la capacit\u00e0, il nome e versione dello strumento impiegato (software o duplicatore hardware), l\u2019ora di inizio e fine copia, il nome del tecnico operatore e qualsiasi anomalia riscontrata. Queste informazioni supportano la <strong>catena di custodia <\/strong>e servono a dimostrare che la procedura \u00e8 stata eseguita correttamente e senza contaminare le prove.<\/p>\n\n\n\n<p><strong>Formati di output: <\/strong>l\u2019acquisizione bitstream pu\u00f2 produrre sia <strong>copie fisiche <\/strong>(disk-to-disk, clonazione diretta su un altro drive) che <strong>immagini logiche <\/strong>in un file (disk-to-image). La scelta dipende dalle esigenze e dalle risorse: una copia disk-to-disk permette, ad esempio, di montare immediatamente il clone su un\u2019altra macchina per un\u2019analisi rapida, ma richiede un secondo dispositivo di capacit\u00e0 uguale o maggiore. La copia in un file immagine (spesso con estensione <code>.dd<\/code> se raw o <code>.E01<\/code> se &nbsp;compressa con formato EnCase) \u00e8 pi\u00f9 flessibile: il file pu\u00f2 essere trasferito, copiato e montato tramite software appositi; di contro, per accedervi occorre utilizzare applicativi forensi o montarlo in un ambiente che supporti tale formato. Molti strumenti consentono anche di comprimere al volo l\u2019immagine, salvando spazio, e di segmentarla in pi\u00f9 file (utile per gestire file system che non supportano file di grandi dimensioni). In contesti operativi, il responsabile deve definire uno <strong>schema di nomenclatura <\/strong>per le immagini e un <strong>sistema di storage sicuro<\/strong>: ad esempio, archiviare le immagini su NAS forense isolato, con controlli di integrit\u00e0 periodici (ricalcolo hash) e accesso ristretto.<\/p>\n\n\n\n<p>In conclusione, l\u2019acquisizione bitstream \u00e8 un processo dispendioso in termini di tempo e risorse (copiare centinaia di GB pu\u00f2 richiedere ore), ma \u00e8 indispensabile per garantire un\u2019analisi completa e la validit\u00e0 delle prove in tribunale. Organizzazioni ben preparate adottano <strong>linee guida interne <\/strong>per quando e come eseguire imaging completo (ad esempio, pu\u00f2 non essere realistico fermare immediatamente un server critico per copiarlo; vanno stabiliti criteri di impatto). Il responsabile CSIRT bilancia quindi anche l\u2019esigenza di continuit\u00e0 operativa con quella probatoria, pianificando acquisizioni a freddo in orari e modi che riducano il danno, ma senza compromettere la raccolta delle prove necessarie.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-63245948ed8c91446f2a50bf1a7b84a4\"><strong>Acquisizione di dump di memoria (RAM)<\/strong><\/p>\n\n\n\n<p>Le informazioni contenute nella <strong>memoria volatile (RAM) <\/strong>di un sistema spesso <strong>non hanno equivalenti<\/strong> <strong>sul disco <\/strong>e possono rivelare dettagli cruciali di un attacco informatico. La RAM ospita infatti lo stato <em>vivo <\/em>del sistema: processi in esecuzione, moduli di kernel e driver caricati, connessioni di rete aperte, file aperti (che magari non sono mai stati salvati su disco), chiavi di cifratura in uso, password in chiaro temporaneamente in memoria, e molto altro. Tutto questo viene perso definitivamente non appena il sistema viene spento, data la natura volatile della RAM. Per tale ragione, <strong>acquisire un dump di<\/strong> <strong>memoria <\/strong>\u00e8 una fase fondamentale nella risposta agli incidenti live: consente di \u201ccongelare\u201d lo stato runtime del sistema al momento dell\u2019incidente per analizzarlo successivamente in laboratorio.<\/p>\n\n\n\n<p>Dal punto di vista pratico, un <strong>dump di RAM <\/strong>si ottiene tramite appositi strumenti che copiano byte per byte tutto il &nbsp;contenuto della memoria in un file (spesso chiamato <code>memory.dmp<\/code> con estensione <code>.raw\/.bin<\/code>). Su sistemi Windows, esistono utilit\u00e0 consolidate come <em>Magnet RAM Capture <\/em>(fornito da Magnet Forensics) o <em>Belkasoft Live RAM Capturer<\/em>, nonch\u00e9 tool open-source come <em>WinPmem <\/em>(facente parte del progetto Rekall) e <em>DumpIt<\/em>. Questi programmi, tipicamente eseguiti dal tecnico sul sistema target (idealmente da una chiavetta USB, per ridurre scritture su disco), producono un file immagine della RAM che pu\u00f2 poi essere scaricato per l\u2019analisi. Su Linux, l\u2019operazione richiede spesso il caricamento di un <strong>modulo kernel dedicato <\/strong>come <em>LiME (Linux Memory Extractor) <\/em>o l\u2019utilizzo di interfacce \/dev\/mem (se abilitate) e utility <em>dd<\/em>. L\u2019immagine di memoria cos\u00ec ottenuta viene poi analizzata con framework di <strong>memory forensics <\/strong>quali <em>Volatility <\/em>o <em>Rekall<\/em>, che permettono di estrarre dalle strutture binarie informazioni intelligibili: ad esempio la lista dei processi e dei relativi segmenti di memoria, le connessioni di rete attive, le DLL\/caricate nei processi, eventuale codice iniettato, e persino di ricostruire contenuti testuali (come chat, email, cronologia web) presenti in memoria. Un\u2019analisi approfondita della RAM pu\u00f2 rivelare <strong>malware fileless <\/strong>(cio\u00e8 che risiedono solo in memoria), evidenze di attacchi \u201cpass the hash\u201d o credenziali rubate in cleartext, e tante altre informazioni essenziali per capire <strong>come \u00e8 avvenuta la compromissione <\/strong>e cosa sta facendo l\u2019attaccante.<\/p>\n\n\n\n<p>Vale la pena evidenziare due aspetti: <strong>temporalit\u00e0 e integrit\u00e0<\/strong>. La RAM \u00e8 estremamente dinamica: anche in pochi secondi lo stato pu\u00f2 cambiare (processi che terminano, nuovi che si avviano, allocazioni che si spostano). Pertanto, l\u2019operatore deve eseguire il dump <strong>il prima possibile <\/strong>durante il triage, minimizzando ritardi. Inoltre, va considerato che il processo di dumping stesso consuma un po\u2019 di RAM e altera alcuni contenuti (ad esempio, parte della RAM viene occupata dal buffer di copia); questo \u00e8 inevitabile, ma accettabile se si utilizzano strumenti progettati per minimizzare l\u2019impatto. Si documenta in ogni caso quale tool \u00e8 stato usato e in che orario. Sul fronte integrit\u00e0, bench\u00e9 non sia possibile calcolare un hash <em>prima <\/em>(dato che la RAM \u00e8 mutevole), si calcola almeno l\u2019hash del file di dump generato e lo si conserva per verifiche future, trattandolo poi con la stessa cura di un\u2019immagine disco.<\/p>\n\n\n\n<p>Un altro motivo critico per effettuare il dump di RAM \u00e8 la presenza di <strong>chiavi di cifratura <\/strong>o altri segreti volatili. Se un sistema impiega dischi cifrati (es. BitLocker su Windows, LUKS su Linux) o connessioni VPN cifrate attive, spesso la <strong>chiave di decrittazione risiede in RAM <\/strong>mentre il volume \u00e8 montato o la sessione attiva. Estrarre la RAM pu\u00f2 consentire di recuperare tali chiavi \u2013 tramite specifici plugin di Volatility \u2013 e quindi di accedere a dati altrimenti indecifrabili. ISO 27037 infatti avverte di considerare l\u2019acquisizione di dati volatili prima dello shutdown proprio perch\u00e9 <em>\u201cchiavi di cifratura e altri dati cruciali<\/em> <em>potrebbero risiedere in memoria attiva\u201d<\/em>. Un caso concreto \u00e8 quello dei ransomware: alcuni memorizzano la chiave di cifratura in RAM; se si interviene rapidamente e si cattura la memoria, si potrebbe estrarre la key e decriptare i file senza pagare riscatti.<\/p>\n\n\n\n<p>In sintesi, l\u2019<strong>acquisizione della memoria volatile <\/strong>\u00e8 un tassello irrinunciabile nelle indagini su incidenti moderni. Un responsabile SOC deve prevedere nel piano di risposta la raccolta di dump di RAM per ogni server o endpoint compromesso (quando fattibile in sicurezza) e garantire che il personale sia addestrato all\u2019uso degli strumenti di memory dump. Solamente catturando questa dimensione \u201ceffimera\u201d dell\u2019attacco si ottiene una visione completa dell\u2019accaduto, che combini stato dinamico e dati statici.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-4d7074fe11c3f3712b428dbc81fa0598\"><strong>Artefatti di sistemi operativi Microsoft Windows<\/strong><\/p>\n\n\n\n<p>I sistemi Windows conservano una vasta gamma di <strong>artefatti forensi <\/strong>\u2013 file di log, voci di registro, cache di sistema \u2013 che possono fornire preziose evidenze sulle attivit\u00e0 avvenute prima, durante e dopo un incidente informatico. Un responsabile forense deve conoscere questi artefatti e includerne la raccolta nel processo di acquisizione. Ecco i principali artefatti Windows da considerare e il loro significato:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Event Logs (registri eventi): <\/strong>Windows registra eventi di sistema, sicurezza e applicazione nei file di log (.evtx) situati in <em>C:\\Windows\\System32\\winevt\\Logs\\<\/em>. Questi log, consultabili tramite Event Viewer, sono fondamentali per ricostruire la sequenza di eventi di un sistema. Ad esempio, il <strong>Security Log <\/strong>documenta tentativi di accesso (Event ID 4625 per login falliti, 4624 per login riusciti) e cambi di privilegi, permettendo di identificare eventuali accessi non autorizzati o escalation di privilegi avvenute. Il log <strong>System <\/strong>registra informazioni su avvii\/arresti di sistema, crash, o errori di driver; il log <strong>Application <\/strong>contiene eventi dalle applicazioni (es. errori applicativi, servizi custom). Durante un\u2019incidente, copiare e mettere in sicurezza questi file di log \u00e8 prioritario, in quanto potrebbero venire cancellati dall\u2019attaccante per nascondere le tracce. Un esempio concreto: grazie ai Security Log si pu\u00f2 scoprire l\u2019ora esatta in cui un account amministrativo sospetto ha effettuato login, o se vi sono stati tentativi massivi di password guessing.<\/li>\n\n\n\n<li><strong>Registry (registro di configurazione): <\/strong>Il <strong>registro di Windows <\/strong>\u00e8 una banca dati centralizzata che memorizza configurazioni di sistema, applicazioni, informazioni sugli utenti, dispositivi hardware e molto altro. \u00c8 suddiviso in <em>hive <\/em>principali (SAM, SYSTEM, SOFTWARE, SECURITY, oltre ai NTUSER.DAT per ogni utente) che risiedono sul disco. Dal punto di vista forense, il registry \u00e8 una miniera di informazioni: ad esempio, consente di identificare <strong>periferiche USB collegate in passato <\/strong>(chiavi di registro USBSTOR che elencano device ID, date e serial number dei dispositivi \u2013 utile per investigare esfiltrazioni tramite chiavette); permette di vedere programmi impostati per l\u2019esecuzione automatica (Run keys) \u2013 spesso usati da malware per persistere; contiene gli <strong>MRU (Most Recently Used)<\/strong>, liste di file o percorsi recentemente aperti da ciascun utente, che aiutano a capire quali documenti sono stati acceduti; tracce di installazione software, configurazioni di rete, e cos\u00ec via. Due artefatti peculiari meritano menzione: <strong>ShimCache <\/strong>e <strong>AmCache<\/strong>. Lo <strong>ShimCache <\/strong>(Application Compatibility Cache) \u00e8 una cache mantenuta da Windows per compatibilit\u00e0 applicativa, che registra ogni eseguibile avviato sul sistema con timestamp (talora anche se l\u2019eseguibile non esiste pi\u00f9); fornisce quindi una storia delle esecuzioni utile a rintracciare malware eseguiti e poi cancellati. L\u2019<strong>AmCache <\/strong>\u00e8 un file (Amcache.hve) introdotto dalle versioni moderne di Windows, che conserva dettagli sugli eseguibili lanciati, come nome, path, hash e primo timestamp di esecuzione. Analizzando AmCache si pu\u00f2 determinare ad esempio la prima volta in cui un malware \u00e8 stato eseguito, anche se non ci sono log di altro tipo. Durante l\u2019acquisizione forense, \u00e8 buona pratica estrarre copie dei file di registro ( <code>C:\\Windows\\System32\\Config\\*<\/code> e <code>C:\\Users\\{utente}\\NTUSER.DAT<\/code> per ogni profilo) per analizzarli con strumenti forensi (Registry viewers, RegRipper, etc.).<\/li>\n\n\n\n<li><strong>Prefetch files: <\/strong>Windows utilizza la funzionalit\u00e0 <strong>Prefetch <\/strong>per velocizzare il caricamento dei programmi usati di frequente. Ogni volta che un eseguibile viene lanciato, il sistema crea\/ aggiorna un file prefetch (estensione <code>.pf<\/code>) in <em>C:\\Windows\\Prefetch\\ <\/em>contenente il nome del programma, un hash del percorso e riferimenti ai file caricati. Dal punto di vista forense, i prefetch file <strong>tracciano l\u2019esecuzione dei programmi <\/strong>e ne registrano il timestamp di ultimo avvio . Ci\u00f2 \u00e8 prezioso per stabilire una <strong>timeline di esecuzione<\/strong>: ad esempio, se un malware \u00e8 stato eseguito alle 3:00 AM e poi cancellato, rimarr\u00e0 comunque un file .pf (es. <code>MALWARE.EXE-3AD3B2.pf<\/code>) con ultimo esecuzione a quell\u2019ora. I prefetch indicano anche il numero di volte di esecuzione e quali librerie o file ha caricato il processo, dando indizi su cosa abbia fatto. \u00c8 importante notare che il Prefetch \u00e8 abilitato di default su desktop Windows, ma su Windows Server potrebbe essere disabilitato per impostazione predefinita. Nelle analisi di incidenti su client, i prefetch sono spesso tra le prime cose da controllare per vedere <strong>quali programmi anomali sono stati eseguiti <\/strong>di recente. Vanno quindi raccolti durante l\u2019acquisizione (copiando l\u2019intera cartella Prefetch). Un caso d\u2019uso tipico: rilevare un tool di hacking (es. <em>mimikatz.exe<\/em>) dal prefetch, anche se l\u2019eseguibile non \u00e8 pi\u00f9 presente \u2013 evidenza che qualcuno lo ha lanciato sul sistema.<\/li>\n\n\n\n<li><strong>LNK (Link) files: <\/strong>i file di collegamento <code>.lnk<\/code> sono scorciatoie Windows che si creano quando un utente accede a file o cartelle (ad es. i collegamenti nei \u201cRecent Items\u201d). Ogni LNK conserva <strong>metadati dettagliati <\/strong>sull\u2019elemento target: percorso completo del file\/cartella, dispositivo di origine (incluso il numero di serie di volume \u2013 utile per identificare unit\u00e0 USB), timestamp dell\u2019ultimo accesso, dimensione del file target, e a volte coordinate della finestra o icona. In un\u2019indagine, analizzare i LNK consente di scoprire attivit\u00e0 utente come aperture di documenti o esecuzione di strumenti, anche se tali file non esistono pi\u00f9. Ad esempio, se un dipendente ha aperto un file riservato e copiato su USB, potrebbe restare un link in <code>%APPDATA%\\Microsoft\\Windows\\Recent\\<\/code> che svela nome e percorso di quel file, nonch\u00e9 identifica la pennetta USB usata (dal seriale riportato nel LNK). I LNK possono anche indicare programmi lanciati da percorsi insoliti (es. <code>C:\\Temp\\hacker_tool.exe<\/code>), dando tracce di esecuzioni sospette. \u00c8 quindi prassi acquisire la cartella <em>Recent <\/em>di ciascun profilo utente e altri percorsi dove possono annidarsi LNK (es. collegamenti sul desktop, nel menu Start, etc.). <\/li>\n\n\n\n<li><strong>Altri artefatti rilevanti: <\/strong>ce ne sono numerosi; tra i principali citiamo: i <strong>Jump Lists <\/strong>(liste dei file aperti di recente per applicazioni \u201cpinned\u201d sulla taskbar, memorizzate in <code>%APPDATA\\Microsoft\\Windows\\Recent\\AutomaticDestinations\\<\/code>), utili &nbsp;per vedere cronologia di utilizzo di specifici programmi; i <strong>file di paging e ibernazione <\/strong>(<code>C:\\pagefile.sys<\/code> e <code>C:\\hiberfil.sys<\/code>), che contengono porzioni di RAM e stato del sistema scritti su disco \u2013 analizzandoli si possono estrarre password o frammenti di documenti presenti in memoria; i <strong>dump di crash <\/strong>(<code>MEMORY.DMP<\/code> generati da Blue Screen) che talvolta sopravvivono e contengono un\u2019istantanea della RAM al momento del crash; il <strong>MFT (Master File Table) <\/strong>nei volumi NTFS, che elenca tutti i file con i loro timestamp e pu\u00f2 essere &nbsp;estratto per analisi timeline; i log di sistema quali <strong>Firewall di Windows <\/strong>(p.e. <code>pfirewall.log<\/code>&nbsp;se attivato) e <strong>Windows Defender <\/strong>(eventi antimalware) che potrebbero rivelare tentativi di connessione o malware rilevati; infine, i <strong>file di configurazione e cache applicative <\/strong>(ad esempio i log di navigazione web, la cache DNS, i file di Outlook PST\/OST per le email, etc.) da acquisire se pertinenti al caso.<\/li>\n<\/ul>\n\n\n\n<p>In fase di risposta a un incidente, il <strong>responsabile CSIRT <\/strong>deve stilare un elenco di questi artefatti Windows e assicurarsi che la squadra li raccolga sistematicamente. Spesso si utilizzano strumenti di <strong>live response <\/strong>(come KAPE \u2013 Kroll Artifact Parser and Extractor, di Eric Zimmerman) che automaticamente collezionano copie di molti di questi artefatti chiave per una rapida analisi. La ricchezza di informazioni fornite dagli artefatti Windows consente, una volta in laboratorio, di <strong>ricostruire la linea temporale<\/strong> degli eventi (tramite analisi timeline correlando log, MFT e timestamp vari) e di <strong>attribuire azioni ad<\/strong> <strong>account utente specifici<\/strong>, distinguendo attivit\u00e0 lecite da quelle malevole. Ad esempio, combinando i dati di registro (es. chiave USBSTOR) con i LNK file, si pu\u00f2 provare che un certo file \u00e8 stato copiato su una chiavetta a una certa ora da un determinato utente. Per garantire ci\u00f2, la fase di acquisizione deve aver preservato intatti tali artefatti.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-6f0900bceb813fd6ff3d2675c430d7f1\"><strong>Artefatti di sistemi operativi Linux<\/strong><\/p>\n\n\n\n<p>Anche in ambienti Linux\/Unix esistono <strong>artefatti forensi <\/strong>fondamentali per un\u2019analisi post-incident. Sebbene Linux non abbia un Registro unificato come Windows, mantiene moltissime informazioni in <strong>file di log testuali e file di configurazione<\/strong>, che se raccolti e analizzati correttamente permettono di ricostruire intrusioni e attivit\u00e0 anomale. Ecco alcuni elementi chiave che un responsabile dovrebbe includere nel piano di acquisizione da sistemi Linux compromessi:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Log di sistema e di sicurezza: <\/strong>la gran parte delle distribuzioni Linux registra gli eventi in <code>\/var\/log\/<\/code>. In &nbsp;particolare, il <strong>syslog <\/strong>o log generale di sistema (tipicamente <code>\/var\/log\/syslog<\/code> su Debian\/Ubuntu o <code>\/var\/log\/messages<\/code> su Red Hat\/CentOS) contiene messaggi su una vasta gamma di attivit\u00e0: avvio di servizi, messaggi del kernel, connessioni di rete, errori generici. Esaminare il syslog consente di individuare quando sono stati avviati o fermati servizi (utile per vedere ad esempio se un servizio critico \u00e8 andato in crash in concomitanza con l\u2019attacco) e messaggi anomali del kernel che potrebbero indicare exploit (es. oops o segfault sospetti). Ancora pi\u00f9 importanti spesso sono i <strong>log di autenticazione<\/strong>, come <code>\/var\/log\/auth.log<\/code> (su sistemi Debian-like) o <code>\/var\/log\/secure<\/code> (Red Hat-like), dove vengono tracciati tutti i tentativi di login, sia locali che remoti, con indicazione di utente, origine e successo\/fallimento. In questi file si trovano anche i log di uso del comando <strong>sudo <\/strong>(elevazione di privilegi), gli accessi via SSH, eventuali cambi di password, ecc. Durante un\u2019incidente, analizzare auth.log pu\u00f2 rivelare ad esempio un attacco <strong>brute-force <\/strong>in atto (molti tentativi di login falliti in sequenza) o se un utente in particolare ha ottenuto accesso root via sudo in orari non autorizzati. Altri log utili sono quelli di servizi specifici: ad esempio, log di Apache\/Nginx in <code>\/var\/log\/apache2\/<\/code> o <code>\/var\/log\/nginx\/<\/code> (per investigare compromissioni di web server), log di database (MySQL, PostgreSQL) se si sospetta un SQL injection, log di firewall\/iptables, ecc. Il responsabile deve stilare una lista dei percorsi di log da prelevare in base ai servizi in esecuzione sul sistema bersaglio. \u00c8 buona pratica includere sempre i log <em>lastlog, wtmp, btmp<\/em>: sono file binari (tipicamente in <code>\/var\/log\/<\/code> che registrano rispettivamente l\u2019ultimo login di ogni utente, la cronologia di tutti i login &nbsp;(wtmp) e quella dei login falliti (btmp). Questi file, analizzabili con comandi come <code>last<\/code> e <code>lastb<\/code>, possono integrare le informazioni di auth.log riguardo gli accessi utente nel tempo.<\/li>\n\n\n\n<li><strong>Cronologia dei comandi e configurazioni utente: <\/strong>su Linux, ogni utente shell tipicamente ha un file di <strong>history <\/strong>(es. <code>~\/.bash_history<\/code> per Bash) in cui vengono salvati i comandi digitati in passato. Questa cronologia, se non cancellata dall\u2019attaccante, \u00e8 un artefatto estremamente prezioso: consente di vedere quali comandi sono stati eseguiti \u2013 ad esempio, un aggressore che abbia ottenuto accesso shell potrebbe aver lanciato comandi per creare nuovi utenti, modificare configurazioni o estrarre dati, e spesso tali comandi rimangono nella bash_history. Va notato che la history di solito si salva solo alla chiusura della sessione; se l\u2019attaccante non ha terminato la sessione o ha disabilitato la logging della history, il file potrebbe non contenere tutto. In ogni caso, <strong>acquisire i file di history di tutti gli utenti <\/strong>(bash, zsh, etc.) \u00e8 doveroso. Oltre ai comandi, le configurazioni utente come <code>~\/.ssh\/authorized_keys<\/code> devono essere raccolte: questo file indica eventuali chiavi pubbliche autorizzate per login SSH senza password \u2013 spesso gli attaccanti ne &nbsp;aggiungono una per garantirsi l\u2019accesso persistente. Anche i file <code>~\/.ssh\/known_hosts<\/code> possono dare indizi su da quali macchine ci si \u00e8 collegati. Il <strong>filesystem home<\/strong> degli utenti, in generale, pu\u00f2 contenere script di persistenza (es. aggiunte in <code>~\/.bashrc<\/code> o <code>~\/.profile<\/code> che eseguono malware all\u2019avvio della shell). Durante l\u2019acquisizione forense, se non si effettua un\u2019immagine completa del disco, almeno le home directory rilevanti dovrebbero essere copiate integralmente per preservare questi artefatti.<\/li>\n\n\n\n<li><strong>Configurazioni di sistema e job pianificati: <\/strong>un vettore comune di persistenza su Linux \u00e8 l\u2019uso di <strong>cron job <\/strong>maligni. I cron job si trovano in <code>\/etc\/crontab<\/code>,<br><code>\/etc\/cron.hourly\/cron.daily\/...<\/code> o nelle crontab per utente (<code>\/var\/spool\/cron\/crontabs\/<\/code>). Analizzandoli, si potrebbe scoprire, ad esempio, che \u00e8 stato inserito un job che esegue periodicamente un certo script (magari per ricollegarsi a una botnet o mantenere l\u2019accesso). Durante l\u2019incidente, si estraggono quindi tutte le configurazioni di cron. Un altro punto chiave sono le configurazioni di <strong>SSH <\/strong>in <code>\/etc\/ssh\/sshd_config<\/code> : se un attaccante ha abilitato opzioni deboli o cambiato la porta del servizio potrebbe aver modificato questo file. Inoltre, i <strong>log di SSH <\/strong>(che in realt\u00e0 confluiscono in auth.log) dovrebbero essere gi\u00e0 considerati, ma \u00e8 bene filtrarli per evidenziare, ad esempio, da quali IP sono avvenuti accessi SSH riusciti. Anche la configurazione di altri servizi (VPN, servizi cloud, Docker containers in <code>\/var\/lib\/docker\/<\/code> etc.) pu\u00f2 essere rilevante se l\u2019incidente li coinvolge \u2013 la regola generale \u00e8 <strong>collezionare tutto ci\u00f2 che potrebbe aver registrato attivit\u00e0 dell\u2019attaccante<\/strong>.<\/li>\n\n\n\n<li><strong>Log di pacchetti e sistema: <\/strong>un aspetto peculiare di Linux \u00e8 la presenza dei <strong>package<\/strong> <strong>management logs<\/strong>. Su Debian\/Ubuntu c\u2019\u00e8 <code>\/var\/log\/dpkg.log<\/code> che tiene traccia di ogni installazione\/aggiornamento\/rimozione di pacchetti, con timestamp. Su RedHat\/CentOS analoghi sono i log di yum o dnf. Questi log sono utilissimi per vedere se durante l\u2019intrusione l\u2019attaccante ha installato nuovi software (es. un server web, uno strumento di hacking) oppure se il sistema ha aggiornato qualcosa di critico di recente. Ad esempio, se dpkg.log mostra l\u2019installazione di <em>netcat <\/em>o <em>nmap<\/em>, \u00e8 un red flag di attivit\u00e0 sospetta. Altri log degni di nota: <code>\/var\/log\/lastlog<\/code> (ultimi accessi utenti), <code>\/var\/log\/faillog<\/code> (errori di login), <code>\/var\/log\/mail.log<\/code> (attivit\u00e0 del server mail, se presente, per vedere possibili esfiltrazioni via email) e i log di eventuali IDS\/IPS installati. Se il sistema utilizza systemd, molti log tradizionali potrebbero essere nel <strong>journal <\/strong>binario (<code>\/var\/log\/journal\/<\/code>) accessibile con <code>journalctl<\/code> : in tal caso, \u00e8 opportuno esportare l\u2019intero journal (usando <code>journalctl --since<\/code> con un range temporale, oppure copiando i file journal) per l&#8217;analisi.<\/li>\n<\/ul>\n\n\n\n<p>In fase di acquisizione, spesso la via pi\u00f9 semplice \u00e8 eseguire un <strong>package di raccolta <\/strong>(ad esempio uno script che copia tutto <code>\/var\/log<\/code> e alcune directory chiave di <code>\/etc<\/code> e home utenti). Tuttavia, un responsabile attento specificher\u00e0 quali sono gli <strong>\u201cessential artifacts\u201d <\/strong>Linux da non tralasciare. Magnet Forensics elenca 7 artefatti essenziali: <mark>history bash, syslog, auth.log, sudo logs, cron, SSH, package logs<\/mark> tutti punti che abbiamo toccato. Raccogliendo questi, un analista potr\u00e0: <strong>ricostruire la<\/strong> <strong>timeline <\/strong>di un attacco (dall\u2019intrusione iniziale visibile in auth.log, alle azioni compiute visibili nella history e nei log di sistema, fino alla persistenza via cron), <strong>attribuire azioni a utenti\/ip <\/strong>(log di autenticazione), e scoprire eventuali <strong>manomissioni <\/strong>(servizi disabilitati, configurazioni cambiate). Un esempio: tramite auth.log si individua che l\u2019attaccante ha ottenuto accesso con l\u2019utente \u201cwebadmin\u201d via SSH; guardando nella bash_history di webadmin si vede che ha eseguito un certo script e aperto una connessione reverse shell; controllando crontab si trova un job aggiunto da webadmin che ogni ora tentava di riconnettersi ad un certo host (persistenza). Inoltre dpkg.log rivela che l\u2019attaccante ha installato un pacchetto <em>socat <\/em>per facilitare le proxy. Tutto ci\u00f2 costruisce una narrazione completa dell\u2019incidente. \u00c8 compito del responsabile assicurare che tali tasselli informativi non vadano perduti: ad esempio, evitando la rotazione o cancellazione dei log (in casi estremi, potrebbe decidere di <em>spegnere subito <\/em>un server Linux se teme che l\u2019attaccante possa \u201cripulire\u201d i log tramite rootkit, e acquisire a freddo).<\/p>\n\n\n\n<p>In conclusione, gli artefatti Linux, sebbene sparsi in file diversi, <strong>coprono molti aspetti dell\u2019attivit\u00e0 di sistema <\/strong>e, se acquisiti integralmente, forniscono un quadro molto dettagliato agli investigatori. La sfida \u00e8 sapere dove guardare: per questo esistono anche cheat-sheet e liste preparate (ad esempio <em>Seven Linux Artefacts to Collect <\/em>di SANS) che guidano i primi responder su cosa prendere. Un responsabile dovrebbe prevedere tali linee guida e aggiornarsi continuamente, dato che i percorsi e formati dei log possono variare con le versioni (es. il passaggio a systemd-journald). Garantire la raccolta coerente e completa di questi artefatti in ogni incidente significa <strong>accelerare l\u2019analisi forense <\/strong>e migliorare l\u2019efficacia della risposta.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-7bc31516969692d922cd3a9726a46988\"><strong>Strumenti hardware e software per l\u2019acquisizione forense<\/strong><\/p>\n\n\n\n<p>Per eseguire le operazioni sopra descritte, il responsabile deve assicurarsi che il team disponga dei <strong>giusti strumenti hardware e software <\/strong>di acquisizione forense, nonch\u00e9 delle competenze per usarli correttamente. Vediamo i principali.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Strumenti hardware<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>Write-blocker: <\/em>come gi\u00e0 menzionato, sono dispositivi (talora in forma di piccoli box USB\/SATA o bay da laboratorio) che assicurano l\u2019<strong>accesso in sola lettura <\/strong>ai supporti di memoria originali\u00a0. Sono uno standard de-facto in qualsiasi acquisizione di dischi: marchi noti includono Tableau (ad es. Tableau T8u USB 3.0 Forensic Bridge), Logicube, Digital Intelligence UltraBlock, ecc. Esistono write-blocker per diverse interfacce: SATA\/PATA, USB, NVMe, SCSI, ecc. Il loro impiego consente di collegare un hard disk sequestrato alla macchina forense senza rischio di contaminare i dati \u2013 condizione essenziale per mantenere l\u2019integrit\u00e0 probatoria. Alcuni modelli hanno funzionalit\u00e0 avanzate come il logging interno delle operazioni o la possibilit\u00e0 di attivare\/disattivare il blocco (ma in forense deve restare attivo!). Il <strong>NIST CFTT <\/strong>(Computer Forensic Tool Testing) conduce test periodici sui write-blocker per certificarne l\u2019affidabilit\u00e0; un responsabile pu\u00f2 consultare tali risultati per scegliere dispositivi adeguati.<\/li>\n\n\n\n<li><em>Duplicatori e unit\u00e0 di imaging hardware: <\/em>si tratta di apparecchi dedicati che possono copiare un disco di origine verso uno o pi\u00f9 dischi di destinazione senza bisogno di un computer intermedio. Spesso sono dispositivi portatili, alimentati a parte, con schermo integrato, usati sul campo dalle forze dell\u2019ordine. Esempi: Tableau Forensic Duplicator, Logicube Falcon, Atola Insight. Questi strumenti eseguono copie <strong>bitstream con verifica hash incorporata <\/strong>e spesso supportano il cloning <em>multi-target <\/em>(una sorgente verso due copie identiche contemporaneamente). Il vantaggio \u00e8 la velocit\u00e0 e il fatto che sono costruiti per non alterare l\u2019originale (incorporano essi stessi funzioni di write-block). Inoltre, supportano formati di output multipli (raw, E01, ecc.) e generano report dettagliati. Secondo NIST SP 800-86, i tool hardware di imaging forniscono in genere log di audit trail e funzioni per garantire consistenza e ripetibilit\u00e0 dei risultati. L\u2019uso di duplicatori \u00e8 frequente nelle acquisizioni di numerosi supporti in poco tempo (es. per copiare velocemente decine di hard disk durante un sequestro contemporaneo).<\/li>\n\n\n\n<li><em>Altri tool hardware: <\/em>include adattatori e accessori, ad esempio: kit di cavi e adattatori per collegare dischi di laptop, telefoni o dispositivi proprietari; dispositivi per estrarre chip di memoria (nell\u2019ambito mobile forensics, eMMC reader); strumenti per acquisire SIM card o smart card, ecc. Nel contesto specifico di incidenti informatici in enti, alcuni di questi sono meno rilevanti, ma un responsabile dovrebbe avere pronte soluzioni per connettere qualsiasi supporto si trovi (dai vecchi dischi IDE agli ultimi M.2 NVMe). Da citare anche i <strong>blocchi di rete <\/strong>(sebbene non hardware in senso stretto): quando si prende un computer acceso come evidenza, un\u2019opzione \u00e8 inserirlo in una <strong>\u201cfaraday bag\u201d <\/strong>o scollegarlo da rete e Wi-Fi per isolarlo \u2013 questo pi\u00f9 per preservare da modifiche remote che per acquisizione, ma fa parte dell\u2019equipaggiamento di scena.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Strumenti software<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>Utility di imaging forense: <\/em>sul lato software, un arsenale classico comprende tool come <strong>dd <\/strong>(il tool Unix per copie bitstream), con varianti forensi quali <em>dcfldd <\/em>o <em>Guymager <\/em>(GUI Linux) che aggiungono funzioni di hashing e log. Questi consentono di creare immagini raw bit-a-bit. In ambiente Windows, il popolare <strong>FTK Imager\u00a0<\/strong>permette di acquisire dischi, cartelle o anche singoli file di memoria e di rete, generando immagini in diversi formati (incluso il compresso E01) e calcolando hash in automatico. Software commerciali come <strong>EnCase <\/strong>e <strong>X-Ways <\/strong>integrano funzioni di imaging: ad esempio EnCase permette di creare direttamente un case con immagini E01 e verifica integrit\u00e0. Molti di questi software supportano sia l\u2019acquisizione <em>fisica <\/em>(del disco intero) che <em>logica <\/em>(ad es. solo una partizione o solo certi file). La scelta dello strumento dipende dallo scenario: <em>dd <\/em>e affini sono ottimi per ambienti Linux e situazioni scriptabili; FTK Imager \u00e8 spesso usato su postazioni Windows per copie \u201cad hoc\u201d (ad esempio di pendrive o di piccoli volumi) grazie alla sua semplicit\u00e0 d\u2019uso grafica. \u00c8 importante che i tecnici verifichino i <strong>checksum <\/strong>generati e alleghino i log prodotti dallo strumento (ad es. FTK Imager produce un file di output con tutti i dettagli dell\u2019operazione). Da ricordare: prima dell\u2019imaging, il disco di <strong>destinazione <\/strong>va azzerato o comunque pulito, per evitare contaminazione (principio del \u201cforensically clean media\u201d).<\/li>\n\n\n\n<li><em>Strumenti per acquisizione live e triage: <\/em>in contesti di incidente, esistono suite pensate per automatizzare la raccolta di evidenze volatili e semi-volatili. Ad esempio, <strong>KAPE <\/strong>(Kroll Artifact Parser and Extractor) consente di definire \u201ctarget\u201d (artefatti noti di Windows) e raccoglierli rapidamente da un sistema live in un output centralizzato. <strong>Volatility <\/strong>(framework di memory forensics) ha moduli per dumping live memory su Windows (WinPmem) e ora anche su Linux. <strong>Belkasoft Evidence Center <\/strong>e <strong>Magnet AXIOM <\/strong>dispongono di agent da deployare su macchine live per estrarre dati chiave (RAM, registro eventi, ecc.) con un minimo impatto. Un altro strumento pratico \u00e8 <strong>CyLR <\/strong>(Cyber Logos Rapid Response) \u2013 un leggero collector open source \u2013 o lo script <strong>Livessp <\/strong>(SANS SIFT). Questi tool aiutano il first responder a non dimenticare elementi importanti durante la concitazione di un incidente. Per il triage rapido di supporti spenti (es. decine di PC da controllare), esistono anche soluzioni come <strong>Paladin <\/strong>(distro live basata su Ubuntu con toolkit forense) o <strong>CAINE <\/strong>(Computer Aided Investigative Environment), che permettono di bootare la macchina da USB\/DVD in un ambiente forense e copiare selettivamente evidenze (con write-block software attivo sul disco originale).<\/li>\n\n\n\n<li><em>Tool per acquisizione della memoria: <\/em>gi\u00e0 evidenziati in parte, meritano un focus. Oltre a DumpIt e Magnet RAM Capture citati, c\u2019\u00e8 <strong>Microsoft LiveKd <\/strong>(Sysinternals) che consente di ottenere dump di memoria di macchine Windows partendo da un kernel debug; <strong>LiME <\/strong>su Linux \u00e8 ormai standard per memdump su Android e server headless; <strong>AVML (Acquire Volatile Memory for Linux) <\/strong>\u00e8 uno strumento pi\u00f9 recente di Microsoft per estrarre RAM da VM Linux (utile in cloud). Qualunque strumento si usi, deve essere <strong>testato e validato <\/strong>prima in laboratorio. Ad esempio, si pu\u00f2 verificare che il dump prodotto sia apribile in Volatility e che corrisponda (nel caso Windows) alla versione OS corretta. Il responsabile dovrebbe predisporre procedure e ambienti di prova per garantire la familiarit\u00e0 del team con tali strumenti: un errore nell\u2019uso (es. dimenticare di eseguire come Administrator un RAM capture tool) potrebbe rendere nullo il dump.<\/li>\n<\/ul>\n\n\n\n<p>In generale, la dotazione strumentale di un responsabile SOC\/CSIRT deve essere allineata alle <strong>best practice internazionali<\/strong>. Gli standard NIST elencano dozzine di tool sia commerciali che open source, e raccomandano di avere politiche per l\u2019<strong>uso corretto degli strumenti <\/strong>(ad esempio, mantenere una copia di ciascun software usato, con versioni, hash, in modo da poter dimostrare in tribunale esattamente cosa \u00e8 stato usato e che non contiene backdoor). \u00c8 inoltre importante monitorare il panorama: strumenti nuovi emergono (ad es. per acquisire dati da cloud, o dall\u2019IoT), e un responsabile deve valutarne l\u2019adozione. Nel kit non dovrebbero mancare anche strumenti di <strong>verifica<\/strong>: ad esempio, software per calcolare hash (md5deep, sha256sum), per confrontare file, per estrarre metadata. Anche se non direttamente di \u201cacquisizione\u201d, essi supportano la fase di accertamento dell\u2019integrit\u00e0 dei dati acquisiti.<\/p>\n\n\n\n<p>In conclusione, <strong>strumenti hardware e software ben selezionati <\/strong>sono il braccio armato dell\u2019analista forense. La loro efficacia dipende dalla competenza d\u2019uso e da procedure appropriate. Un responsabile deve assicurare formazione continua e magari predisporre ambienti di simulazione dove testare periodicamente l\u2019intera catena (ad esempio, simulare un attacco e far eseguire ai tecnici l\u2019acquisizione con i loro tool, verificando poi che tutto \u2013 hash, log, tempi \u2013 sia conforme). Questa preparazione fa la differenza tra un\u2019acquisizione improvvisata e una condotta professionalmente, come richiesto in un contesto di sicurezza nazionale.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-a3e4a75e606fcdf9c174e8267979326b\"><strong>Standard e linee guida internazionali<\/strong><\/p>\n\n\n\n<p>Nel campo della digital forensics applicata agli incidenti informatici esistono <strong>standard e linee guida internazionali <\/strong>che definiscono principi, terminologie e procedure riconosciute. Un candidato al ruolo di responsabile CSIRT deve non solo conoscerli, ma saperli mettere in pratica e farvi aderire le operazioni del team. Di seguito, i riferimenti principali.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>ISO\/IEC 27037:2012 <\/strong>\u2013 <em>\u201cInformation technology \u2013 Security techniques \u2013 Guidelines for identification, collection, acquisition and preservation of digital evidence\u201d<\/em>. \u00c8 lo standard ISO specifico per la prima fase della gestione delle evidenze digitali. Esso stabilisce le linee guida per l\u2019<strong>identificazione <\/strong>delle potenziali fonti di prova, la <strong>raccolta <\/strong>(intesa come acquisizione sul campo dei dispositivi\/ evidenze), l\u2019<strong>acquisizione forense <\/strong>vera e propria (creazione di copie bitstream) e la <strong>preservazione <\/strong>delle stesse. Vengono definiti i <strong>principi generali <\/strong>(ad es. minimizzare la contaminazione, assicurare la documentazione completa, mantenere la chain of custody) e identificati i <strong>ruoli chiave<\/strong>, in particolare il <strong>Digital Evidence First Responder (DEFR)<\/strong>, ossia l\u2019operatore iniziale che interviene sulla scena. L\u2019ISO 27037 fornisce indicazioni su come valutare la volatilit\u00e0 delle evidenze e come <strong>dare priorit\u00e0 <\/strong>in base ad essa (ad esempio, suggerendo di acquisire per prima i dati che \u201cscomparirebbero\u201d se il dispositivo fosse spento). Inoltre, dedica sezioni alla corretta <strong>custodia, etichettatura e trasporto <\/strong>delle evidenze digitali, sottolineando l\u2019uso di contenitori appropriati (es. buste antistatiche, custodie sigillabili) e precauzioni contro fattori ambientali che possano danneggiare i dispositivi raccolti. Questo standard \u2013 pur non essendo una procedura operativa dettagliata \u2013 costituisce un <strong>framework di riferimento <\/strong>ampiamente adottato da forze di polizia e team di risposta in tutto il mondo per garantire che fin dai primi istanti le evidenze siano trattate \u201cas ISO compliant as possible\u201d. In Italia, i principi di ISO 27037 sono stati recepiti in molte linee guida interne di Forze dell\u2019Ordine e CERT aziendali.<\/li>\n\n\n\n<li><strong>NIST Special Publication 800-86 <\/strong>\u2013 <em>\u201cGuide to Integrating Forensic Techniques into Incident Response\u201d<\/em>. Pubblicata dal National Institute of Standards and Technology (USA), questa guida colma il gap tra digital forensics tradizionale e incident response. Il suo scopo \u00e8 fornire un <strong>processo strutturato <\/strong>per utilizzare tecniche forensi durante la risposta a incidenti di sicurezza . NIST 800-86 descrive un modello di processo forense composto da quattro fasi: <strong>Collection (raccolta) <\/strong>\u2013 dove si acquisiscono i dati rilevanti dall\u2019ambiente target (dischi, memorie, log di rete, ecc); <strong>Examination (esame) <\/strong>\u2013 che implica il filtro e l\u2019estrazione preliminare di informazioni dai dati grezzi (ad es. parsing di log, carving di file dalla memoria); <strong>Analysis (analisi) <\/strong>\u2013 la fase interpretativa in cui gli analisti traggono conclusioni su cosa \u00e8 successo, correlando le evidenze; <strong>Reporting (reportistica) <\/strong>\u2013 documentare i risultati e magari fornire raccomandazioni. Questa struttura viene integrata nel ciclo di vita di incident response (Preparation, Detection &amp; Analysis, Containment, Eradication &amp; Recovery, Lessons Learned) delineato da un altro noto documento NIST (SP 800-61). La SP 800-86 fornisce anche <em>practical tips<\/em>: ad esempio suggerisce fonti di evidenze per vari tipi di incidenti, tecniche di collezione specifiche (come fare imaging, come raccogliere dati di rete), considerazioni legali da tenere presenti (negli USA, aspetti di privacy, Fourth Amendment, ecc.), e importanza di <strong>policy e procedure interne <\/strong>per la forensics. In sostanza, questo documento aiuta un responsabile a capire come <strong>inserire le attivit\u00e0 forensi in un piano di risposta <\/strong>senza improvvisarle. Ad esempio, se c\u2019\u00e8 un sospetto worm in rete, la guida consiglia di raccogliere non solo i sistemi infetti ma anche traffico di rete, memory dump per analizzare il malware, e di farlo in tempi rapidi dati i dati volatili. Fornisce quindi un utile complemento operativo agli standard ISO.<\/li>\n\n\n\n<li><strong>RFC 3227 <\/strong>\u2013 <em>\u201cGuidelines for Evidence Collection and Archiving\u201d <\/em>(IETF). Questo RFC (Request for Comments) del 2002, pur datato, \u00e8 ancora citatissimo per il concetto di <strong>order of volatility <\/strong>che introduce. In poche pagine, fornisce una serie di raccomandazioni pratiche per chi raccoglie evidenze digitali in ambiente live. Oltre a ribadire l\u2019importanza di partire dai dati pi\u00f9 volatili (CPU, cache, RAM, processi) per poi passare a quelli meno volatili come dischi e infine backup e media esterni, include una lista di <strong>cose da non fare<\/strong>: ad esempio <strong>non spegnere il sistema<\/strong> <strong>prematuramente<\/strong>, pena perdita di dati importanti; <strong>non fidarsi dei tool presenti sul<\/strong> <strong>sistema compromesso<\/strong>, ma usare software di raccolta su supporti protetti; <strong>non usare<\/strong> <strong>comandi che possano alterare massivamente i file <\/strong>(come tool che cambiano tutti gli ultimi accessi); attenzione a <strong>\u201ctrappole\u201d di rete <\/strong>(disconnecting la rete pu\u00f2 attivare meccanismi distruttivi se il malware li prevede). Il documento tratta anche aspetti di <strong>privacy <\/strong>(invita a rispettare le policy aziendali e leggi durante la raccolta, minimizzando dati non necessari) e <strong>considerazioni legali <\/strong>generali sulla validit\u00e0 delle prove (ad esempio, ricorda che le prove devono essere autentiche, affidabili, complete e ottenute in modo lecito per essere ammissibili). Un altro punto fondamentale \u00e8 la definizione di <strong>Chain of Custody <\/strong>(catena di custodia): RFC 3227 specifica che bisogna poter descrivere chiaramente <em>quando, dove, da chi <\/em>ogni evidenza \u00e8 stata scoperta, raccolta, maneggiata, trasferita. Suggerisce di documentare tutti i passaggi, includendo date, nomi e persino numeri di tracking delle spedizioni se un supporto viene trasferito. Questo \u00e8 pienamente in linea con le prassi forensi e in Italia corrisponde all\u2019obbligo di verbale di sequestro e custodia delle copie forensi. In sintesi, l\u2019RFC 3227 \u00e8 una lettura obbligata per i first responder e rimane attuale: i suoi consigli vengono spesso citati nei corsi forensi e implementati nei manuali operativi.<\/li>\n\n\n\n<li><strong>Altri standard e guide rilevanti: <\/strong>oltre ai sopra citati, possiamo menzionare il <strong>NIST SP 800-101 <\/strong>(Guide to Mobile Forensics) per la parte di dispositivi mobili \u2013 utile se l\u2019incidente coinvolge smartphone aziendali; lo <strong>standard ISO\/IEC 27035 <\/strong>per la gestione degli incidenti di sicurezza, che include la fase di <em>Incident Response <\/em>e accenna alla preservazione delle evidenze come parte del processo di mitigazione; la serie <strong>ISO\/IEC 27041, 27042, 27043 <\/strong>che forniscono rispettivamente guide sulla gestione delle attivit\u00e0 forensi (assicurazione di processo), sull\u2019analisi di evidenze digitali e sugli step per investigazioni digitali \u2013 evoluzioni post-27037 che entrano pi\u00f9 nel dettaglio delle fasi successive all\u2019acquisizione. In ambito law enforcement europeo, il <strong>Manuale di Valencia <\/strong>(European cybercrime training manual) e le linee guida dell\u2019ENFSI (European Network of Forensic Science Institutes) replicano concetti simili per armonizzare le pratiche. Nel Regno Unito, la famosa <strong>ACPO Good Practice Guide for Digital Evidence <\/strong>enuncia 4 principi, tra cui il principio 1: <em>non alterare i dati su un dispositivo a meno che non sia inevitabile<\/em>; principio 2: <em>chiunque acceda a dati digitali deve essere competente e tenere traccia di tutto<\/em>; principio 3: <em>va tenuta documentazione completa di tutti i processi<\/em>; principio 4: <em>la persona responsabile dell\u2019indagine ha la responsabilit\u00e0 generale di assicurare conformit\u00e0 legale<\/em>. Questi rispecchiano molto quanto detto in ISO 27037 e RFC 3227, enfatizzando integrit\u00e0 e documentazione. Infine, val la pena ricordare che in Italia anche la giurisprudenza ha affrontato il tema: la Corte di Cassazione (Sez. VI, sentenza n. 26887\/2019) ha delineato un vero e proprio <em>vademecum <\/em>su come devono essere eseguiti i <strong>sequestri di dati informatici<\/strong>, richiamando la necessit\u00e0 di adottare cautele tecniche per garantire che la copia forense sia fedele e che gli originali siano conservati senza alterazioni, pena l\u2019inutilizzabilit\u00e0 degli elementi raccolti. Ci\u00f2 rafforza l\u2019importanza per un responsabile di seguire standard riconosciuti, cos\u00ec che l\u2019operato del team sia non solo efficace tecnicamente ma anche solido a livello legale.<\/li>\n<\/ul>\n\n\n\n<p>In sintesi, <strong>standard e linee guida <\/strong>forniscono il quadro teorico e pratico entro cui muoversi: adottarli garantisce consistenza delle operazioni forensi e facilita la cooperazione con altri team (nazionali e internazionali) parlando lo stesso \u201clinguaggio\u201d procedurale. Un responsabile informato far\u00e0 riferimento a questi documenti nella stesura delle procedure interne, nell\u2019addestramento del personale e nella giustificazione delle scelte operative durante un incidente.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-2e5be07c089ca602d668d55a842e8894\"><strong>Casi d\u2019uso in contesto nazionale<\/strong><\/p>\n\n\n\n<p>Per contestualizzare quanto esposto, consideriamo alcuni scenari nel panorama italiano dove le pratiche di acquisizione forense sono state \u2013 o potrebbero essere \u2013 determinanti. L\u2019obiettivo \u00e8 mostrare come un responsabile CSIRT\/SOC applica tali conoscenze in situazioni reali, spesso in collaborazione con enti pubblici e forze dell\u2019ordine.<\/p>\n\n\n\n<p><strong>1. Attacco ransomware a un ente pubblico (Regione Lazio, 2021): <\/strong>un caso emblematico \u00e8 l\u2019attacco ransomware che ha colpito la Regione Lazio nell\u2019agosto 2021, paralizzando il portale vaccinale COVID-19 e numerosi servizi online per giorni. In un evento del genere, il responsabile della risposta (in sinergia con l\u2019ACN\/CERT nazionale e i tecnici regionali) ha dovuto immediatamente predisporre un <strong>triage <\/strong>su decine di server e sistemi: identificare quali erano criptati e fuori uso, isolare la rete per prevenire ulteriore propagazione, ma anche <strong>acquisire copie forensi <\/strong>dei sistemi colpiti per analizzare il malware e verificarne l\u2019impatto. Nel caso Lazio, ad esempio, \u00e8 stata effettuata l\u2019<strong>acquisizione bitstream dei server critici<\/strong>, inclusi i controller di dominio e i server di gestione del portale sanitario, al fine di consegnare tali immagini agli esperti (anche stranieri) per l\u2019analisi del ransomware e la ricerca di eventuali decryptor. Parallelamente, \u00e8 probabile sia stato eseguito il <strong>dump della memoria <\/strong>su almeno uno dei server infetti ancora in esecuzione, per catturare la chiave di cifratura o tracce dell\u2019attaccante in RAM. Questo incidente ha evidenziato l\u2019importanza di avere <strong>procedure pronte<\/strong>: nonostante la gravit\u00e0, il team forense doveva agire tempestivamente senza compromettere i servizi di ripristino. La raccolta dei <strong>log di sicurezza Windows <\/strong>e dei <strong>domain controller logs <\/strong>\u00e8 stata fondamentale per ricostruire la dinamica: ad esempio, capire quale account iniziale \u00e8 stato compromesso (si parl\u00f2 di credenziali VPN rubate) e quando il malware ha iniziato a diffondersi. L\u2019analisi forense, condotta sulle immagini acquisite, ha permesso di individuare i <strong>file di persistence <\/strong>creati dal ransomware e i movimenti laterali effettuati, dati con cui il responsabile ha potuto informare gli amministratori su come bonificare completamente la rete prima di rimetterla in produzione. Inoltre, queste evidenze sono state girate alla Polizia Postale per le indagini penali. Il <strong>lesson learned <\/strong>di Lazio 2021 ha probabilmente portato a migliorare ancora le pratiche di incident response italiane, ad esempio enfatizzando la necessit\u00e0 di <strong>separare le reti di backup <\/strong>e verificare che le copie di sicurezza non fossero cifrate (in quell\u2019occasione, fortunatamente i backup erano salvi, ma in altri casi non \u00e8 stato cos\u00ec). Un responsabile, da questo esempio, trae l\u2019indicazione che avere un <strong>piano di acquisizione forense predefinito per scenari di ransomware massivi <\/strong>\u00e8 essenziale: chi fa cosa, quali sistemi si copiano per primi, dove si stoccano le immagini in sicurezza, come coordinare pi\u00f9 squadre sul territorio (nel Lazio intervenne anche il CNAIPIC e team di sicurezza privati). In definitiva, il caso Regione Lazio ha mostrato come l\u2019acquisizione forense non sia una fase \u201cpostuma\u201d, ma <strong>integrata nella gestione della crisi<\/strong>: mentre si lavora al ripristino, in parallelo si portano avanti imaging e raccolta evidenze, poich\u00e9 attendere la fine dell\u2019emergenza per iniziare l\u2019acquisizione significherebbe perdere dati chiave o trovare sistemi completamente ripristinati (quindi privati delle tracce dell\u2019attacco).<\/p>\n\n\n\n<p><strong>2. Compromissione di account email governativi: <\/strong>immaginiamo uno scenario in cui un Ministero o un\u2019agenzia governativa rileva accessi sospetti a caselle di posta istituzionali (PEC o email interne). Questo potrebbe derivare da un attacco mirato (es. phishing avanzato) volto a carpire informazioni sensibili. Il <strong>responsabile CSIRT nazionale <\/strong>verrebbe allertato per supportare l\u2019ente nell\u2019indagine. In un caso del genere, una delle prime mosse sarebbe raccogliere in maniera forense i <strong>log del server di posta <\/strong>(ad esempio i log IMAP\/POP\/SMTP, o i log di accesso alla Webmail) per identificare da quali IP e quando si sono verificati gli accessi abusivi. Poi, si procederebbe all\u2019<strong>acquisizione delle caselle di posta <\/strong>compromesse \u2013 ad esempio esportando i file .pst\/.ost nel caso di Exchange\/Outlook, o effettuando un dump delle caselle dal server \u2013 per analizzare quali email sono state lette o esfiltrate dall\u2019attaccante. Se si sospetta che l\u2019attaccante abbia usato una postazione interna compromessa, quel PC verrebbe sequestrato per un\u2019analisi: in tal caso la squadra forense eseguirebbe un\u2019acquisizione post-mortem completa del disco e della RAM (se la macchina \u00e8 accesa) di tale computer. Dall\u2019immagine del PC si cercherebbero artefatti come <strong>browser history <\/strong>(per vedere se l\u2019attaccante ha navigato la webmail), eventuali <strong>keylogger <\/strong>o malware installati, e tracce di movimenti laterali. Un esempio reale simile \u00e8 accaduto con attacchi APT a Ministeri esteri: in passato, malware come <em>Remote Control System <\/em>o <em>Ursnif <\/em>hanno infettato PC di dipendenti pubblici per rubare credenziali PEC e documenti riservati. In queste indagini, la <strong>collaborazione con Polizia Postale <\/strong>\u00e8 stretta: il responsabile deve garantire che ogni acquisizione segua procedure ineccepibili cos\u00ec che le prove (log di accesso, immagini dei PC) siano valide per identificare gli autori e perseguirli. Un aspetto critico qui \u00e8 la <strong>catena di custodia condivisa<\/strong>: ad esempio, i log del server mail potrebbero essere forniti dall\u2019ente al CSIRT e poi da questo alla Polizia; bisogna documentare ogni passaggio, magari apponendo firme digitali ai file per garantirne l\u2019immodificabilit\u00e0 durante il trasferimento. Questo scenario evidenzia l\u2019importanza della <strong>normativa nazionale <\/strong>(es. obblighi di notifica incidenti secondo NIS\/DORA) che impone tempi stretti: entro 24 ore l\u2019ente deve informare l\u2019ACN, e nei giorni seguenti fornire risultati preliminari. Un responsabile quindi attiverebbe subito le procedure di acquisizione forense parallelamente alla mitigazione (es. reset password account, blocco di IoC a firewall), per poter fornire rapidamente un quadro d\u2019impatto. Il risultato tangibile sarebbe un <strong>rapporto forense <\/strong>con elenco delle caselle violate, l\u2019analisi di come (es. malware su PC X che ha fatto da pivot), e le azioni raccomandate per evitare futuri attacchi (es. 2FA obbligatoria sulle caselle, campagne anti-phishing).<\/p>\n\n\n\n<p><strong>3. Indagine su dipendente infedele in un ente pubblico: <\/strong>un contesto diverso, ma non raro, \u00e8 quello di un abuso interno \u2013 ad esempio un funzionario di un\u2019amministrazione che sottrae dati riservati (liste di cittadini, documenti interni) per fini personali o per rivenderli. In tal caso, l\u2019incidente pu\u00f2 non essere un \u201cattacco esterno\u201d ma una violazione di policy interna. Tuttavia, le tecniche di acquisizione forense sono analoghe: supponiamo che si sospetti che il dipendente abbia copiato file su una USB personale. Il responsabile della sicurezza dell\u2019ente, con supporto forense) disporr\u00e0 il <strong>sequestro del PC aziendale <\/strong>dell\u2019individuo e di eventuali supporti nel suo ufficio. Su quel PC si effettuer\u00e0 un imaging completo del disco. Dall\u2019analisi emergeranno ad esempio <strong>artefatti USB <\/strong>nel registro di Windows con l\u2019identificativo di una pen drive non autorizzata e date di utilizzo. I <strong>log di accesso <\/strong>potrebbero mostrare che il soggetto ha lavorato fuori orario su quei file (Event Log con login serali, oppure timeline di $MFT che indica accessi in orari anomali). Anche i <strong>LNK files <\/strong>e la shellbag del registro potrebbero confermare che ha aperto cartelle contenenti i dati riservati e magari copiato file su un percorso esterno. Tutte queste prove, opportunamente raccolte e documentate, costituiranno materiale per un eventuale procedimento disciplinare o penale. In un caso simile \u00e8 fondamentale che la <strong>copia forense <\/strong>del disco del dipendente sia effettuata in maniera impeccabile e che l\u2019originale venga custodito in cassaforte: la difesa potrebbe contestare la manomissione dei dati, quindi poter esibire hash corrispondenti e documentazione di catena di custodia completa tutela l\u2019ente e la validit\u00e0 probatoria. Inoltre, se coinvolto un sindacato o autorit\u00e0, sapere di aver seguito standard ISO\/NIST (dunque di non aver violato la privacy di altri dati se non quelli pertinenti, ecc.) mette al riparo da contestazioni sulla metodologia. Un esempio reale avvenne qualche anno fa in un comune italiano, dove un amministratore di sistema fu scoperto a curiosare nei dati anagrafici senza motivo: grazie alla <strong>analisi forense dei log applicativi <\/strong>e del suo computer, si individu\u00f2 l\u2019illecito. Il responsabile deve essere sensibile anche a questi scenari \u201cinterni\u201d, predisponendo magari procedure semplificate di acquisizione (non sempre servir\u00e0 un intervento della Polizia, a volte \u00e8 un audit interno) ma ugualmente rigorose.<\/p>\n\n\n\n<p><strong>4. Coordinamento multi-ente in incidenti su infrastrutture critiche: <\/strong>In ambito nazionale, il responsabile per la prevenzione incidenti potrebbe trovarsi a gestire situazioni che coinvolgono pi\u00f9 enti contemporaneamente \u2013 ad esempio una campagna di attacchi ransomware a vari ospedali o comuni. In queste situazioni, l\u2019acquisizione forense deve scalare su pi\u00f9 fronti: occorre inviare squadre locali (o guidare da remoto i tecnici sul posto) per raccogliere evidenze in ciascun luogo. Un caso ipotetico: una variante di ransomware colpisce simultaneamente 5 ospedali italiani. Il CSIRT nazionale emette allerta e invia <em>digital forensics kits <\/em>alle squadre IT locali con istruzioni su cosa fare: eseguire subito dump di RAM delle macchine critiche (server di cartelle cliniche) e poi spegnerle per imaging, raccogliere log di sicurezza e una copia dei malware trovati su disco. Ogni squadra segue lo stesso protocollo (magari fornito sotto forma di checklist derivata da ISO 27037). I dati raccolti vengono poi centralizzati al CSIRT per l\u2019analisi aggregata \u2013 questo ha senso perch\u00e9 confrontando i dump di memoria o gli artefatti del malware, si pu\u00f2 capire se gli attacchi sono correlati (stessa variante) e quindi fornire <em>early warning <\/em>agli altri. Un responsabile deve quindi saper <strong>orchestrare acquisizioni forensi in parallelo<\/strong>, mantenendo la qualit\u00e0. Ci\u00f2 comporta anche aspetti logistici, come assicurarsi che ogni ente abbia almeno un personale formato DEFR o che possa dare accesso rapido alle stanze server per le copie. La <strong>cooperazione con forze di polizia <\/strong>qui \u00e8 doppiamente importante: incidenti su infrastrutture critiche vengono seguiti anche dall\u2019autorit\u00e0 giudiziaria, quindi polizia scientifica e Postale lavoreranno con il CSIRT. Uniformare gli standard (ad es. concordare l\u2019uso di determinate tipologie di supporti di custodia sigillati, condividere gli hash via canali sicuri) \u00e8 qualcosa che va preparato <strong>prima <\/strong>dell\u2019incidente, tramite accordi e protocolli tra ACN e forze dell\u2019ordine. In Italia, il modello di intervento cooperativo \u00e8 in evoluzione, ma eventi come quelli di Luglio 2023 (attacco ransomware a vari comuni toscani) hanno visto CERT-AgID e CNAIPIC lavorare fianco a fianco. Il risultato \u00e8 duplice: mitigare l\u2019incidente <em>e <\/em>raccogliere prove per perseguire i criminali. Il responsabile deve assicurarsi che nessuno dei due obiettivi comprometta l\u2019altro (ad es. non ripristinare macchine senza prima averle acquisite, a costo di tenere gi\u00f9 un servizio un\u2019ora in pi\u00f9 \u2013 decisione spesso difficile ma necessaria in ottica strategica).<\/p>\n\n\n\n<p>Questi esempi mostrano che, nel contesto italiano, l\u2019acquisizione forense \u00e8 ormai parte integrante della gestione degli incidenti informatici, sia che essi siano causati da hacker esterni sia da minacce interne. <strong>Adottare standard internazionali <\/strong>offre un linguaggio comune e una qualit\u00e0 garantita delle operazioni, mentre declinare tali standard nelle procedure specifiche nazionali (considerando normative locali e struttura organizzativa italiana) \u00e8 il compito del responsabile. In ogni caso, <strong>le evidenze digitali raccolte <\/strong>\u2013 dai log di Windows alle memorie RAM \u2013 si sono rivelate l\u2019elemento chiave per chiarire gli incidenti e trarne lezioni: ad esempio, l\u2019analisi forense post-mortem dei sistemi di un comune colpito da ransomware pu\u00f2 evidenziare come l\u2019attaccante \u00e8 entrato (RDP esposto, credenziali deboli), fornendo indicazioni per mettere in sicurezza tutti gli altri enti con configurazioni simili. Cos\u00ec, il ciclo prevenzione-incidenti-miglioramento si chiude, con la forensica digitale a fare da ponte tra <strong>reazione all\u2019emergenza <\/strong>e <strong>strategia di sicurezza proattiva<\/strong>.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-e5b8efa02cd7a606496624e2d02e7bc9\"><strong>Conclusioni<\/strong><\/p>\n\n\n\n<p>L\u2019acquisizione forense di sistemi informatici \u2013 con tutte le sue sfaccettature di triage, imaging e raccolta artefatti \u2013 rappresenta una <strong>pietra angolare <\/strong>della moderna risposta agli incidenti. Nel ruolo di responsabile per la prevenzione e gestione di incidenti informatici, queste competenze non sono solo tecniche, ma strategiche: bisogna saper <strong>orientare il team <\/strong>verso le azioni giuste nei momenti critici, garantendo che nessuna prova vada perduta e che l\u2019integrit\u00e0 delle evidenze rimanga intatta. Come evidenziato dai principali standard (ISO\/IEC 27037, NIST 800-86) e linee guida (RFC 3227), seguire metodologie strutturate assicura che l\u2019indagine digitale sia condotta con rigore scientifico e validit\u00e0 legale.<\/p>\n\n\n\n<p>Un buon responsabile CSIRT deve quindi agire su pi\u00f9 fronti: <strong>prevenire <\/strong>\u2013 formando il personale e predisponendo procedure e toolkit per essere pronti all\u2019acquisizione; <strong>gestire <\/strong>\u2013 durante l\u2019incidente decidere rapidamente cosa acquisire live e cosa post-mortem, bilanciando la necessit\u00e0 di contenere la minaccia con quella di conservare le prove; <strong>analizzare <\/strong>\u2013 assicurarsi che i dati raccolti vengano esaminati a fondo (se non dal proprio team, passando il testimone a team forensi dedicati), traendo conclusioni solide; e <strong>comunicare <\/strong>\u2013 redigendo report post-incidente chiari che documentino l\u2019accaduto e reggano a eventuali scrutini giudiziari.<\/p>\n\n\n\n<p>In ambito nazionale, queste responsabilit\u00e0 si amplificano: il responsabile diventa l\u2019anello di congiunzione tra diverse entit\u00e0 (enti colpiti, agenzie di sicurezza, forze dell\u2019ordine, talvolta partner internazionali per attacchi globali), dovendo garantire un approccio unificato e conforme agli standard. Solo un processo di <strong>acquisizione forense ben gestito <\/strong>pu\u00f2 fornire le risposte alle domande chiave dopo un incidente: <em>come \u00e8 successo? cosa \u00e8 stato colpito? c\u2019\u00e8 ancora presenza dell\u2019attaccante? quali dati sono stati compromessi? <\/em>\u2013 e queste risposte informano tanto le azioni di recovery immediato quanto le strategie di miglioramento a lungo termine.<\/p>\n\n\n\n<p>Concludendo, l\u2019acquisizione forense non \u00e8 una mera operazione tecnica ma un\u2019attivit\u00e0 dal forte impatto organizzativo e legale. Operare secondo le best practice internazionali, mantenere un alto livello di <strong>professionalit\u00e0 e documentazione<\/strong>, e sapersi adattare ai contesti concreti (tecnologici e normativi) italiani, sono caratteristiche imprescindibili per il responsabile CSIRT\/SOC. Cos\u00ec facendo, ogni incidente informatico, per quanto grave, diventa anche un\u2019opportunit\u00e0 di apprendimento e di rafforzamento della postura di sicurezza nazionale, trasformando l\u2019esperienza sul campo in nuove misure preventive e in una resilienza cyber sempre maggiore. La sfida \u00e8 elevata, ma come recita un principio forense: <em>\u201cle prove digitali non mentono\u201d <\/em>\u2013 sta a noi saperle preservare e interpretare correttamente, a tutela della sicurezza collettiva e della giustizia.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Introduzione Nel contesto della sicurezza nazionale, l\u2019acquisizione forense delle evidenze digitali riveste un ruolo cruciale nella gestione degli incidenti informatici. Un CSIRT\/SOC (Computer Security Incident Response Team\/Security Operations Center) deve assicurare che ogni fase \u2013 dalla profilazione del sistema e triage iniziale, fino alla copia forense dei dati \u2013 sia condotta in modo rigoroso e &hellip; <a href=\"https:\/\/www.fabriziogiancola.eu\/index.php\/2025\/09\/05\/acquisizione-forense-principi-metodologie-e-strumenti-per-la-gestione-degli-incidenti-informatici\/\" class=\"more-link\">Leggi tutto<span class=\"screen-reader-text\"> &#8220;Acquisizione forense: principi,  metodologie e strumenti per la gestione degli incidenti informatici&#8221;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"iawp_total_views":5,"footnotes":""},"categories":[12,14],"tags":[51,78,81,77,79,34,75,76,53,80],"class_list":["post-2457","post","type-post","status-publish","format-standard","hentry","category-cyber-security","category-digital-forensics","tag-acquisizione-forense","tag-artifacts","tag-bitstream","tag-dump","tag-log","tag-nist","tag-system-profiling","tag-triage","tag-volatility","tag-write-blocker"],"_links":{"self":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/2457","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/comments?post=2457"}],"version-history":[{"count":67,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/2457\/revisions"}],"predecessor-version":[{"id":2650,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/2457\/revisions\/2650"}],"wp:attachment":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/media?parent=2457"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/categories?post=2457"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/tags?post=2457"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}