{"id":3321,"date":"2025-10-08T17:33:24","date_gmt":"2025-10-08T15:33:24","guid":{"rendered":"https:\/\/www.fabriziogiancola.eu\/?p=3321"},"modified":"2025-10-09T11:47:02","modified_gmt":"2025-10-09T09:47:02","slug":"data-theft-piano-di-intervento-informatico-forense","status":"publish","type":"post","link":"https:\/\/www.fabriziogiancola.eu\/index.php\/2025\/10\/08\/data-theft-piano-di-intervento-informatico-forense\/","title":{"rendered":"Data theft: piano di intervento informatico forense"},"content":{"rendered":"\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-a0faf392634a4d5b74888c782f67fe10\"><strong>Scenario e obiettivi dell\u2019indagine<\/strong><\/p>\n\n\n\n<p>Il CSIRT Italia ha segnalato la presenza online di file riservati appartenenti ai clienti di uno studio legale, presumibilmente sottratti dal file server interno dello studio. In qualit\u00e0 di consulente forense incaricato, l\u2019obiettivo primario \u00e8 <strong>preservare e acquisire in modo forense tutte le evidenze digitali rilevanti <\/strong>(server, workstation e dispositivi di rete) garantendone integrit\u00e0 e autenticit\u00e0, in vista di una possibile indagine giudiziaria. Si seguiranno rigorosamente le best practice internazionali (es. standard ISO\/IEC 27037) per identificare, raccogliere, acquisire e conservare le prove digitali. \u00c8 fondamentale minimizzare qualsiasi alterazione dei dati durante la raccolta e documentare ogni attivit\u00e0 svolta, mantenendo una catena di custodia rigorosa delle evidenze.<\/p>\n\n\n\n<p><strong>Assunzioni Operative: <\/strong>si assume che l\u2019incidente sia recente e che i sistemi coinvolti siano ancora disponibili in sede. Il file server Linux \u00e8 identificato come potenziale fonte dei dati esfiltrati; tuttavia, non si esclude il coinvolgimento di una o pi\u00f9 delle 5 workstation Windows (ad esempio come punto d\u2019ingresso iniziale dell\u2019attacco). Il firewall perimetrale potrebbe contenere log utili sulle connessioni di esfiltrazione. Si dispone dell\u2019accesso fisico a tutti i dispositivi e del consenso dello studio per procedere all\u2019acquisizione forense. Si prevede inoltre di avere a disposizione strumenti forensi (hardware e software) adeguati, inclusi supporti di memorizzazione esterni capienti per salvare le immagini acquisite. Ogni attivit\u00e0 verr\u00e0 coordinata in modo da ridurre al minimo l\u2019impatto sull\u2019operativit\u00e0 dello studio, pur privilegiando la <strong>preservazione delle prove <\/strong>rispetto alla continuit\u00e0 di servizio.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-70c1f1fd63a68a126ae644ec82f632de\"><strong>Identificazione e preservazione delle evidenze<\/strong><\/p>\n\n\n\n<p>Come primo passo, <strong>identifichiamo tutte le potenziali fonti di evidenza digitale <\/strong>nell\u2019infrastruttura compromessa. In questo caso includono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>File server Linux <\/strong>(contenente i dati dei clienti) \u2013 sorgente probabile dell\u2019esfiltrazione.<\/li>\n\n\n\n<li><strong>Workstation Windows 10 (5 unit\u00e0) <\/strong>\u2013 potrebbero aver subito compromissioni (ad es. tramite malware o furto credenziali) usate per accedere al server.<\/li>\n\n\n\n<li><strong>Firewall perimetrale <\/strong>\u2013 dispositivo di rete con possibili log di traffico in uscita e regole di accesso.<\/li>\n\n\n\n<li><strong>Copie dei file esfiltrati <\/strong>rinvenuti online \u2013 per confronti con i dati originali e conferma dell\u2019effettiva violazione.<\/li>\n<\/ul>\n\n\n\n<p>Una volta identificate, <strong>si procede alla preservazione immediata dello stato dei sistemi <\/strong>per evitare alterazioni o perdite di informazioni volatili. In particolare:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Isolamento dei dispositivi dalla rete: <\/strong>scolleghiamo il file server e le workstation dalla rete (cavo Ethernet o Wi-Fi) per impedire ulteriori comunicazioni con l\u2019esterno o possibili azioni di copertura da parte di un eventuale attaccante ancora connesso. Anche il firewall, se compromesso, viene isolato (ad es. rimuovendo temporaneamente la connessione WAN) mantenendolo per\u00f2 acceso se necessario per preservare i log in memoria.<\/li>\n\n\n\n<li><strong>Valutazione dello stato (acceso\/spento) dei sistemi: <\/strong>se i computer sono accesi, si considera di eseguire un\u2019acquisizione <em>live <\/em>di dati volatili. In base all\u2019ordine di volatilit\u00e0 (RFC 3227), le informazioni pi\u00f9 volatili come il contenuto della RAM e le connessioni di rete attive vanno acquisite prima di spegnere i sistemi. <strong>La memoria RAM pu\u00f2 contenere informazioni cruciali <\/strong>(password in chiaro, processi malware in esecuzione, connessioni di rete attive, ecc.) che andrebbero perse allo spegnimento. Dunque, per server e workstation accesi si pianifica di catturare un dump della memoria prima di procedere oltre.<\/li>\n\n\n\n<li><strong>Documentazione della scena: <\/strong>prima di manipolare i dispositivi, <strong>si documenta accuratamente la scena<\/strong>: fotografia dei cablaggi, posizione dei dispositivi, stato dei sistemi (acceso\/spento, schermate visibili), etichette o seriali. Questo aiuta a ricostruire il contesto e dimostrare che ogni passaggio \u00e8 stato eseguito correttamente. Ogni attivit\u00e0 viene annotata con data, ora, luogo e persone coinvolte, pronto per essere inserita nel registro di catena di custodia.<\/li>\n\n\n\n<li><strong>Stabilizzazione del sistema compromesso: <\/strong>in caso il file server Linux sia in esecuzione e si tema la presenza di malware attivo (es. una backdoor), si valuter\u00e0 se conviene spegnere immediatamente dopo la raccolta della RAM. Spesso, in incidenti gravi, <strong>l\u2019arresto immediato (es. scollegando l\u2019alimentazione) <\/strong>\u00e8 consigliato dopo la raccolta dei dati volatili, per evitare che malware distruttivi cancellino tracce all\u2019arresto ordinato. Tuttavia, questa decisione va ponderata in base alla situazione (ad esempio, la presenza di servizi critici potrebbe richiedere un arresto controllato). Nel dubbio, \u00e8 preferibile privilegiare l\u2019integrit\u00e0 delle prove rispetto alla continuit\u00e0 operativa.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-45dbeb63cd7759f092dc1be589ee5be9\"><strong>Acquisizione forense dei sistemi coinvolti<\/strong><\/p>\n\n\n\n<p>Dopo aver messo in sicurezza l\u2019ambiente, si procede con l\u2019<strong>acquisizione forense bit-a-bit <\/strong>dei supporti di memoria e la raccolta dei log, utilizzando strumenti e procedure tali da garantire copie esatte e immodificabili degli originali. Tutte le acquisizioni avverranno utilizzando <strong>strumentazione forense dedicata (write blocker, software di imaging) <\/strong>e seguendo protocolli standard. Di seguito, il dettaglio per ciascun componente:<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>File server Linux (acquisizione disco e memoria)<\/strong><\/p>\n\n\n\n<p>Il file server \u00e8 il principale indiziato da cui sarebbero stati esfiltrati i dati. Le attivit\u00e0 previste sono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Dump della memoria RAM: <\/strong>ce il server \u00e8 ancora acceso, si esegue una copia della memoria volatile. Su sistemi Linux, si pu\u00f2 utilizzare ad esempio <em>Linux Memory Extractor (LiME) <\/em>(modulo kernel) o strumenti come <strong>Magnet DumpIt for Linux <\/strong>(tool standalone) per ottenere un file dump della RAM completo. L\u2019operazione viene svolta rapidamente, salvando l\u2019output su un supporto esterno montato in sola lettura. Questa acquisizione <em>live <\/em>\u00e8 fondamentale perch\u00e9 la RAM potrebbe contenere indicazioni di processi sospetti, chiavi di cifratura, o connessioni attive dell\u2019attaccante. Si annotano orario e configurazione del sistema al momento del dump (es. elenco processi e connessioni aperte, utilizzando comandi come <code>ps<\/code>, <code>netstat <\/code>o tool forensi,se possibile, evitando per\u00f2 alterazioni significative).<\/li>\n\n\n\n<li><strong>Acquisizione forense del disco<\/strong>: successivamente, si procede allo <em>shutdown <\/em>del server per eseguire l\u2019acquisizione del disco in modo sicuro. Idealmente, il disco fisso del server viene <strong>rimosso <\/strong>dalla macchina per evitare qualsiasi modifica dovuta all\u2019avvio del sistema operativo. Il disco viene collegato a una workstation forense tramite un <strong>write-blocker hardware <\/strong>(es. un Tableau) che impedisce qualsiasi scrittura accidentale sul supporto originale. In alternativa, se non fosse possibile estrarre il disco (ad es. array RAID complesso in produzione), si potrebbe avviare il server da un <strong>bootable USB forense <\/strong>(es. distribuzione <em>CAINE <\/em>basata su Linux Ubuntu o <em>Kali Linux <\/em>in modalit\u00e0 forense) che non altera i dischi interni (automount disabilitato, accesso in sola lettura). Avviato l\u2019ambiente forense, si pu\u00f2 usare il tool <code>dd<\/code> o <code>dcfldd<\/code> per creare un\u2019immagine bitstream di ogni unit\u00e0 logica. Ad esempio: <code>dcfldd if=\/dev\/sda of=\/media\/esterna\/server-image.img hash=sha256 log=server-img.log<\/code> (dove si calcola anche l\u2019hash durante la copia). \u00c8 preferibile usare <em>dcfldd <\/em>o strumenti analoghi in quanto progettati per scopi forensi (permettono di calcolare direttamente hash MD5\/SHA e suddividere l\u2019immagine in segmenti, se necessario). In alternativa, si pu\u00f2 impiegare <strong>Guymager <\/strong>(tool con interfaccia grafica su Linux) che consente di creare immagini in formato raw E01 con calcolo automatico degli hash. Durante l\u2019acquisizione, <strong>non si deve mai salvare l\u2019immagine sullo stesso disco oggetto dell\u2019acquisizione <\/strong>ma su un dispositivo di destinazione separato (ad esempio un drive USB esterno capiente formattato exFAT\/NTFS). Si raccomanda il formato <em>E01 (EnCase Evidence File) <\/em>per il disco del server, poich\u00e9 comprime i dati e consente di includere metadati (es. informazioni del caso, timestamp di acquisizione, etc.) utili per la catena di custodia. Al termine, viene calcolato e registrato l\u2019hash (tipicamente MD5 e SHA-1) dell\u2019immagine e confrontato con quello calcolato sul disco originale, per verificare la conformit\u00e0 bit-a-bit. Un match degli hash conferma che la copia \u00e8 <strong>identica all\u2019originale e non alterata<\/strong>, garantendo l\u2019autenticit\u00e0 dell\u2019evidenza. Tutte le operazioni vengono registrate nel log di acquisizione (nome del dispositivo, orari di inizio\/fine, dimensione dell\u2019immagine, algoritmi di hash utilizzati, ecc.). Il supporto originale (disco server) viene poi sigillato e conservato come evidenza originale.<\/li>\n\n\n\n<li><strong>Raccolta di log e configurazioni: <\/strong>oltre all\u2019immagine completa del file system (che include comunque i log di sistema), si pu\u00f2 procedere a estrarre copie logiche di file di log chiave per un\u2019analisi immediata. Ad esempio, i file in <code>\/var\/log\/<\/code> (log di autenticazione SSH, log di Samba NFS se il server fungeva da file server di rete, log di sistema) sono cruciali per ricostruire gli accessi e le operazioni avvenute. Tali log, se disponibili, vengono copiati separatamente (sempre tramite strumenti che garantiscano l\u2019integrit\u00e0, ad es. usando <code>cp<\/code> in ambiente forense o esportandoli con <code>nc<\/code> su un\u2019altra macchina) e i loro hash calcolati, cos\u00ec da poterli utilizzare per un\u2019analisi pi\u00f9 rapida senza dover montare subito l\u2019intera immagine del disco. Naturalmente l\u2019integrit\u00e0 di questi file \u00e8 garantita anche dal fatto che provengono da un\u2019immagine forense verificata.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Workstation Windows 10 (acquisizione disco e, se opportuno, memoria)<\/strong><\/p>\n\n\n\n<p>Le cinque workstation Windows potrebbero aver giocato un ruolo nell\u2019incidente (es. come punto di ingresso iniziale tramite phishing o malware, o come postazioni da cui \u00e8 partito l\u2019accesso non autorizzato al server). Il piano prevede:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Dump della RAM (se accese): <\/strong>per ogni workstation ancora accesa al momento dell\u2019intervento, si effettua prima la cattura della memoria volatile. Su Windows, uno strumento pratico \u00e8 <strong>Magnet Forensics RAM Capture (DumpIt)<\/strong>, eseguibile da chiavetta USB: con un doppio click esegue il dump completo della RAM su un file <code>.raw<\/code> o <code>.mem<\/code>. Questo richiede pochi minuti per decine di GB di RAM e fornisce istantanee dei processi in esecuzione, connessioni di rete attive, moduli caricati, ecc. Spesso i ransomware o altri malware lasciano tracce in memoria (processi o librerie iniettate) che possono essere scoperte con analisi successive (es. con Volatility). Anche credenziali o token temporanei possono risiedere in RAM, quindi questa \u00e8 un\u2019evidenza preziosa. Si salva il dump su un disco esterno, annotando ora e macchina, e si calcola l\u2019hash anche per questi file di memoria.<\/li>\n\n\n\n<li><strong>Spegnimento e rimozione dischi: <\/strong>subito dopo il dump (o immediatamente, se la macchina era spenta), <strong>si spengono le workstation<\/strong>. Idealmente, nel caso di sospetto malware attivo, \u00e8 accettabile uno spegnimento improvviso (staccando l\u2019alimentazione o la batteria) per evitare che eventuali programmi malevoli intercettino la normale procedura di shutdown (p.es. alcuni malware possono cancellare tracce al momento dello spegnimento). Dato che abbiamo gi\u00e0 acquisito la RAM, il rischio di perdere dati volatili importanti \u00e8 mitigato. Una volta spento il sistema, si procede a <strong>rimuovere il disco interno <\/strong>(HDD\/SSD) dalla workstation.<\/li>\n\n\n\n<li><strong>Imaging forense dei dischi: <\/strong>ogni disco viene etichettato univocamente (es. WS1, WS2, &#8230; WS5) e collegato tramite <strong>write-blocker <\/strong>a una postazione forense. Su sistemi Windows, useremo <strong>FTK Imager <\/strong>(software forense gratuito di AccessData\/Exterro) sulla nostra workstation forense per creare immagini bitstream dei dischi. FTK Imager permette di scegliere il formato (raw dd, E01, AFF, etc.) e di calcolare automaticamente hash MD5\/SHA1 durante l\u2019acquisizione. Prima di procedere, ci assicuriamo che Windows <strong>non effettui mount automatico <\/strong>delle partizioni del disco inserito: infatti Windows tende a montare qualsiasi volume riconosciuto, rischiando di alterare last access time o altri metadata. L\u2019uso del write-blocker hardware previene questo problema, garantendo che il sistema operativo forense veda il disco come sola lettura. In FTK Imager, useremo l\u2019opzione <em>Create Disk Image <\/em>selezionando la sorgente fisica (Physical Drive) e specificando come destinazione un percorso su un drive esterno. Scegliamo il formato <strong>E01 (EnCase Evidence) <\/strong>per coerenza e compressione, inserendo nei metadati dell\u2019immagine i dettagli del caso (nome caso, numero evidenza, esaminatore, etc.). Abilitiamo l\u2019opzione di <strong>verifica hash <\/strong>al termine (FTK Imager calcoler\u00e0 hash MD5\/SHA1 e li comparer\u00e0 automaticamente). Procediamo quindi all\u2019imaging completo. Ad acquisizione terminata, verifichiamo i log di FTK Imager che riporteranno gli hash calcolati; un confronto positivo tra hash di origine e copia conferma la bont\u00e0 dell\u2019immagine. Ripetiamo questo processo per tutti i dischi delle 5 postazioni.<\/li>\n\n\n\n<li><strong>Acquisizione dati di interesse dalle workstation: <\/strong>le immagini dei dischi Windows conterranno informazioni quali i log di Windows (eventi di sicurezza nel registro eventi), file temporanei, cronologia di navigazione, eventuali malware presenti, ecc. Sebbene l\u2019analisi dettagliata avverr\u00e0 successivamente in laboratorio, in sede di acquisizione si pu\u00f2 gi\u00e0 valutare di estrarre rapidamente alcuni artefatti se immediatamente utili. Ad esempio, <strong>log di Windows Event Viewer <\/strong>(Security.evtx) per vedere login sospetti, o la lista di utenti e gruppi locali, possono essere esportati usando strumenti come <em>FTK Imager <\/em>stesso (che consente di sfogliare il file system e salvare file singoli) prima di smontare il disco. Tuttavia, tali operazioni non sono strettamente necessarie in campo se l\u2019obiettivo principale \u00e8 acquisire tutto per analisi approfondita successiva. L\u2019essenziale \u00e8 che le immagini siano integre e complete.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Firewall perimetrale (raccolta log e configurazione)<\/strong><\/p>\n\n\n\n<p>Il firewall costituisce il punto di ingresso\/uscita della rete aziendale. Anche se potrebbe non essere opportuno spegnerlo (specie se fornisce connettivit\u00e0 Internet allo studio) prima di aver analizzato la situazione, ai fini forensi occorre <strong>acquisire i dati che possono testimoniare le connessioni di esfiltrazione<\/strong>. Le azioni prevedono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Esportazione dei log di traffico: <\/strong>la maggior parte dei firewall di classe enterprise o SMB consente di esportare i log di sistema (ad esempio file di log di sessione, eventi di intrusion detection se integrato, log VPN, ecc.) tramite interfaccia di amministrazione o SSH. Si accede al firewall (in sola lettura) e si scaricano i log relativi al periodo sospetto dell\u2019incidente. In particolare, interessano <strong>log di connessioni uscenti (egress) <\/strong>dal file server o dalle workstation verso l\u2019esterno. Questi log possono rivelare <strong>indirizzi IP di destinazione e volumi di dati<\/strong> <strong>trasferiti <\/strong>durante l\u2019esfiltrazione. Ad esempio, se i dati sono stati caricati su un sito web o cloud, il firewall potrebbe mostrare un flusso FTP\/HTTP\/HTTPS anomalo in uscita da un IP interno (quello del server) verso un IP esterno sconosciuto, magari con un volume di svariati gigabyte. Tali evidenze sono cruciali per ricostruire il canale di esfiltrazione. I log vengono salvati (in formato testo o CSV) su supporto forense e ne vengono calcolati gli hash per garantirne l\u2019integrit\u00e0.<\/li>\n\n\n\n<li><strong>Configurazione e regole: <\/strong>si acquisisce anche la <strong>configurazione del firewall <\/strong>(spesso esportabile come file di backup) per vedere che porte\/servizi erano aperti verso l\u2019esterno. Ad esempio, se il file server aveva porte aperte (SSH, SMB) o se esistevano regole di port forwarding, ci\u00f2 pu\u00f2 essere rilevante. La config, una volta esportata, viene sottoposta a hash e conservata.<\/li>\n\n\n\n<li><strong>Eventuale immagine del dispositivo: <\/strong>se il firewall \u00e8 un appliance software (ad es. basato su Linux\/BSD come pfSense) con storage interno, e se l\u2019hardware lo permette, si pu\u00f2 anche considerare di fare un\u2019immagine forense del suo drive (similmente a quanto fatto per server\/PC). Tuttavia, molti firewall commerciali hanno filesystem proprietari o sono crittografati; spesso \u00e8 sufficiente raccogliere log e config. Nel caso di un firewall standard PC-based, si potrebbe spegnere e clonare il disco con gli stessi metodi (write-blocker, etc.), ma solo dopo aver ottenuto i log volatili se non persistenti.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Evidenze dei file esfiltrati online<\/strong><\/p>\n\n\n\n<p>Parallelamente all\u2019acquisizione interna, <strong>recuperiamo i file trapelati sul sito Internet segnalato <\/strong>dal CSIRT. Questi file costituiscono prova dell\u2019avvenuta violazione e saranno utili per confronti. Le attivit\u00e0 sono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Download dei file dal sito esterno: <\/strong>utilizzando un computer sicuro, si scaricano i file trovati online, preservandone i metadati ove possibile. Ad esempio, se disponibili via web, si pu\u00f2 usare <em>wget <\/em>o browser, evitando di modificarli (impostando l\u2019orario di modifica come originario se indicato). Si registra l\u2019URL e l\u2019ora del download e, se possibile, si fa uno screenshot della pagina web dove erano disponibili, come documentazione.<\/li>\n\n\n\n<li><strong>Calcolo hash e conservazione: <\/strong>su ogni file esfiltrato scaricato, si calcolano hash (MD5\/SHA1) per poterli confrontare successivamente con gli hash dei file originali sul server. In ambito forense, il <strong>confronto degli hash <\/strong>permetter\u00e0 di dimostrare che il file online \u00e8 esattamente uguale a quello presente sul server (qualora nelle immagini acquisite del server sia rinvenuto lo stesso hash), confermando cos\u00ec l\u2019origine dell\u2019esfiltrazione. Questi file scaricati diventano anch\u2019essi evidenze digitali e vengono inseriti nella catena di custodia.<\/li>\n\n\n\n<li><strong>Metadati e attributi: <\/strong>si analizzano brevemente i metadati di tali file (es. propriet\u00e0 del documento, autore, date di creazione\/modifica) poich\u00e9 potrebbero rivelare informazioni sull\u2019origine (ad es. username del sistema dal quale provengono, versione software, etc.). Tali informazioni, se trovate, saranno poi corroborate con l\u2019analisi interna (ad esempio, se i documenti recano come autore il nome di un dipendente dello studio, ci\u00f2 pu\u00f2 suggerire da quale PC\/server provenivano).<\/li>\n<\/ul>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-ea778e967cdc976e84d14394d032f605\"><strong>Verifica dell\u2019integrit\u00e0 e documentazione della Catena di Custodia<\/strong><\/p>\n\n\n\n<p>Durante e dopo ogni acquisizione, <strong>si verifica l\u2019integrit\u00e0 delle evidenze digitali <\/strong>e si aggiornano i documenti che compongono la Catena di Custodia:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Calcolo e verifica degli hash crittografici: <\/strong>come standard, per ogni immagine forense creata (dischi di server, PC) e per ogni file rilevante copiato (dump di RAM, log, file esfiltrati, ecc.), si calcola almeno un algoritmo di hash (tipicamente MD5 e SHA-1, oppure SHA-256 per maggiore sicurezza). Il valore di hash viene confrontato con quello ricalcolato all\u2019occorrenza sulle stesse evidenze per assicurare che non vi siano alterazioni. Ad esempio, FTK Imager e altri tool riportano automaticamente hash MD5\/SHA1 post-acquisizione. Questi hash vengono annotati nel <strong>verbale di acquisizione <\/strong>accanto all\u2019identificativo dell\u2019evidenza. La corrispondenza degli hash tra originale e copia forense prova formalmente che la copia \u00e8 identica al bit all\u2019originale, requisito fondamentale per la validit\u00e0 probatoria.<\/li>\n\n\n\n<li><strong>Documentazione dettagliata: <\/strong>si redige un <strong>verbale tecnico di acquisizione <\/strong>in cui per ogni dispositivo analizzato si riportano: descrizione (marca, modello, S\/N), identificativo assegnato come evidenza, persona che ha eseguito l\u2019operazione, data\/ora di inizio e fine imaging, strumento usato, hash dell\u2019immagine ottenuta, eventuali osservazioni (es. errori di lettura, settori danneggiati se presenti). Inoltre, come previsto dalle linee guida, <strong>si documenta ogni<\/strong> <strong>operazione svolta su ciascun reperto <\/strong>in ordine cronologico. La Catena di Custodia descrive <strong>l\u2019intero ciclo di vita dell\u2019evidenza digitale<\/strong>, dalla raccolta iniziale fino all\u2019eventuale presentazione in tribunale. Ad esempio: \u201cEvidenza E01: Disco fisso server SN&#8230; prelevato in data &#8230; ore &#8230; da Tizio, acquisito in copia forense file XYZ.E01 hash MD5=&#8230;, SHA1=&#8230;, da Caio con strumento FTK Imager vX, consegnato in custodia a Sempronio alle ore &#8230;\u201d. Ogni trasferimento di custodia (passaggi di mano dell\u2019evidenza, spostamento dal luogo di raccolta al laboratorio, etc.) viene parimenti registrato con data, ora, persona che consegna e persona che riceve e firma (quando possibile). Questo garantisce <strong>tracciabilit\u00e0 completa<\/strong>: in ogni momento si pu\u00f2 stabilire chi ha avuto accesso all\u2019evidenza e quando.<\/li>\n\n\n\n<li><strong>Protezione fisica delle evidenze: <\/strong>dopo l\u2019acquisizione, i supporti originali (dischi rimossi, ecc.) vengono riposti in <strong>contenitori sigillati <\/strong>con etichette anti-manomissione (ad es. evidenziatori di apertura). Si appone un sigillo sia sull\u2019originale sia su una delle copie forensi conservate (la seconda copia sar\u00e0 utilizzata per l&#8217;analisi). Eventuali violazioni dei sigilli sarebbero evidenti e renderebbero dubbia l\u2019integrit\u00e0 del reperto. Oltre ai sigilli fisici, si proteggono i dati da fattori esterni: ad esempio, i supporti vengono conservati in ambiente a temperatura e umidit\u00e0 controllata, lontano da campi elettromagnetici che potrebbero danneggiarli. Nel nostro caso, i dischi originali delle workstation e del server, dopo l\u2019imaging, verranno ad esempio inseriti in <strong>sacchetti antistatici<\/strong>, sigillati, etichettati e messi in una cassaforte o armadio blindato. Lo stesso per eventuali USB contenenti i dump di RAM o i file scaricati: se tali dati sono salvati su supporti rimovibili (es. SSD esterno), anche questi supporti vengono sigillati e custoditi.<\/li>\n\n\n\n<li><strong>Conservazione delle copie forensi: <\/strong>le immagini forensi acquisite (file .E01, .dd, dump RAM, ecc.) verranno duplicate se possibile: una copia <strong>master <\/strong>immutabile, conservata come evidenza intoccabile, e una o pi\u00f9 copie di lavoro su cui effettuare l\u2019analisi tecnica. La copia master (ad es. su hard disk dedicato) viene anch\u2019essa sigillata e custodita, mentre la copia di lavoro potr\u00e0 essere caricata sulle workstation forensi per l\u2019analisi senza rischiare di compromettere l\u2019originale. In caso di contestazioni, la copia master potr\u00e0 sempre essere riesaminata per verifica indipendente.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-3b55493b80052823be1ae45c4a33aea6\"><strong>Consegna e destinazione delle evidenze<\/strong><\/p>\n\n\n\n<p>Una volta concluse le acquisizioni, <strong>le evidenze dovranno essere consegnate e\/o conservate in modo appropriato <\/strong>in vista di procedimenti futuri:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Reportistica e verbali ufficiali: <\/strong>si consegna allo studio legale un <strong>rapporto forense preliminare <\/strong>che elenca tutte le evidenze raccolte e descrive sinteticamente le modalit\u00e0 di acquisizione seguite, certificando che sono stati rispettati i protocolli per assicurare conformit\u00e0 degli originali e immodificabilit\u00e0 delle copie. Questo rapporto include in allegato i verbali di cui sopra e i documenti costituenti la Catena di Custodia firmati dal consulente.<\/li>\n\n\n\n<li><strong>Consegna a autorit\u00e0 inquirenti (se previsto): <\/strong>se lo studio intende sporgere denuncia o se l\u2019incidente configura reati perseguibili d\u2019ufficio, le evidenze digitali dovranno essere <strong>messe a disposizione dell\u2019Autorit\u00e0 Giudiziaria<\/strong>. In tal caso, si preparano i reperti secondo le regole richieste: ogni evidenza viene identificata con un numero di repertazione, descritta nel <strong>verbale di consegna <\/strong>e consegnata (es. alla Polizia Postale o altra forza di polizia competente). I rappresentanti dell\u2019autorit\u00e0 firmano per ricevuta, entrando cos\u00ec loro nella catena di custodia come nuovi custodi dell\u2019evidenza. Da quel momento, ogni accesso ai dati dovr\u00e0 avvenire sotto il loro controllo o con la loro autorizzazione. \u00c8 importante evidenziare che la <strong>documentazione della Catena di Custodia accompagna le evidenze<\/strong>: fornisce al giudice la garanzia che dal momento della raccolta alla presentazione in giudizio non vi siano state manomissioni.<\/li>\n\n\n\n<li><strong>Conservazione a lungo termine: <\/strong>sia lo studio sia l\u2019autorit\u00e0 (se coinvolta) dovranno conservare le evidenze digitali in modo sicuro fino alla conclusione di ogni procedura legale, ed anche oltre se richiesto. Ci\u00f2 significa storage in ambienti controllati, con accesso limitato solo a personale autorizzato. Ad esempio, i supporti sigillati possono essere custoditi in una sala prove dedicata con registro accessi, e le copie digitali possono essere conservate anche in cassaforte ignifuga (per prevenire perdita in caso di incendio). Si ricorda che anche i dati digitali soffrono il passare del tempo (bit rot, obsolescenza hardware): pertanto, per conservazioni prolungate, si potrebbero effettuare periodiche <strong>verifiche dell\u2019integrit\u00e0 <\/strong>(ricalcolando gli hash a distanza di tempo per verificare che coincidano ancora) e migrazioni su nuovi supporti in caso di necessit\u00e0, sempre documentando ogni passaggio.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-87541848430c3cd618102a8308082147\"><strong>Strumentazione e tecniche utilizzate<\/strong><\/p>\n\n\n\n<p>Di seguito un riepilogo degli <strong>strumenti specifici <\/strong>impiegati e la motivazione della loro scelta, in accordo con le best practice forensi:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Write Blocker Hardware (es. Tableau, Digital Intelligence UltraBay)<\/strong>: dispositivo essenziale che si interpone tra il supporto originale (es. SATA\/SAS\/USB) e la macchina forense, consentendo solo comandi di lettura. Ci\u00f2 previene modifiche accidentali ai dati originali durante l\u2019imaging . L\u2019uso del write blocker garantisce l\u2019immodificabilit\u00e0 del reperto originale in linea con i requisiti legali (copia conforme e non alterata). Abbiamo utilizzato write blocker per tutti i dischi rimossi prima di leggerli sui nostri sistemi di acquisizione.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Software di imaging forense<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>FTK Imager<\/em>: scelto per l\u2019acquisizione delle workstation Windows. \u00c8 uno strumento gratuito e affidabile, in grado di creare immagini forensi (raw, E01, AFF) e di calcolare hash integrati. Supporta anche la cattura della RAM su macchine Windows con pochi click. Lo abbiamo usato per comodit\u00e0 e per mantenere un <strong>formato standard (E01) <\/strong>ampiamente accettato nelle corti. Inoltre FTK Imager genera un log dettagliato utile per testimoniare la correttezza delle operazioni. <\/li>\n\n\n\n<li><em>dd\/dc3dd<\/em>: utilizzato in ambienti Linux per la sua ubiquit\u00e0 e controllo. <em>dc3dd <\/em>in particolare \u00e8 una variante di <em>dd <\/em>orientata al digital forensics, che permette hashing on the fly e log avanzati. \u00c8 stato impiegato per duplicare il disco del server Linux in maniera forense.<\/li>\n\n\n\n<li><em>Guymager<\/em>: alternativa GUI su Linux per imaging, scelta nel caso di acquisizioni tramite live CD CAINE. Genera direttamente file .E01 e calcola hash, semplificando l\u2019operativit\u00e0.<\/li>\n\n\n\n<li><em>Tableau TD3\/TX1 Forensic Imager (opzionale)<\/em>: si tratta di unit\u00e0 hardware dedicate che clonano dischi a livello hardware senza bisogno di PC. Se disponibile, avremmo potuto usarla per velocizzare l\u2019acquisizione dei dischi grandi (soprattutto il server) con copia diretta disk-to-disk. Tali dispositivi garantiscono velocit\u00e0 ottimizzata e logging automatico, con verifica hash in hardware. Nel nostro scenario, abbiamo ipotizzato l\u2019uso prevalente di software, ma \u00e8 menzionato per completezza.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Strumenti per il dump della memoria volatile<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>Magnet RAM Capture (DumpIt)<\/em>: utilizzato per dump veloci della RAM sulle macchine Windows. Scelto per la sua semplicit\u00e0 (eseguibile portabile) e velocit\u00e0. Il dump risultante \u00e8 compatibile con i pi\u00f9 diffusi framework di analisi della memoria (Volatility, Rekall).<\/li>\n\n\n\n<li><em>LiME (Linux Memory Extractor)<\/em>: modulo kernel per Linux usato per dump di RAM del server. Scelto perch\u00e9 consente di ottenere un dump consistente direttamente da kernel space, con un impatto minimo sul sistema. Richiede preparazione (compilazione modulo ad hoc per la versione di kernel), perci\u00f2 si potrebbe optare in alternativa per <em>AVML (Azure VM Memory Leaker) <\/em>di Microsoft, un tool user-space che non necessita compilazione. In ogni caso, l\u2019importante \u00e8 aver ottenuto la memoria prima dello spegnimento.<\/li>\n\n\n\n<li><em>Volatility Framework <\/em>(analisi post acquisizione): citato come strumento che useremo successivamente per analizzare i dump di memoria e cercare indizi (processi anomali, moduli sospetti, connessioni residue, credenziali in chiaro, ecc.).<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Utilities di sistema e log collection<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Comandi come <code>ifconfig\/ipconfig<\/code>, <code>netstat<\/code>, <code>tasklist\/ps<\/code>, <code>wmic<\/code> etc., possonoessere stati eseguiti durante la fase live (se fatta) per raccogliere informazioni di stato (es. elenco connessioni di rete, processi attivi, utenti loggati). Tali informazioni sono state annotate e salvate come parte delle evidenze (es. reindirizzando l\u2019output su file di testo).<\/li>\n\n\n\n<li>Per il firewall, l\u2019<strong>interfaccia di amministrazione web\/SSH <\/strong>integrata \u00e8 stata lo strumento per estrarre i log e configurazioni. In mancanza di esportazione diretta, si poteva eseguire uno script o screenshot.<\/li>\n\n\n\n<li><em>Hashing tools: <\/em>utilizzo di algoritmi MD5, SHA-1, SHA-256 tramite tool integrati (ad es. <code>md5sum\/sha1sum<\/code> su Linux, o utilit\u00e0 come <em>HashCalc <\/em>su Windows) per calcolare le impronte digitali delle evidenze.<\/li>\n<\/ul>\n\n\n\n<p>In sintesi, la combinazione di questi strumenti e tecniche \u00e8 stata scelta per <strong>massimizzare l\u2019affidabilit\u00e0 e la completezza della raccolta delle prove<\/strong>, minimizzando al contempo il rischio di alterazione dei dati originali. Ogni scelta (dall\u2019uso del write blocker all\u2019acquisizione della RAM) \u00e8 motivata da esigenze probatorie: garantire che ogni bit di informazione utile venga conservato e possa essere presentato in giudizio con adeguato fondamento di autenticit\u00e0.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-3a028f7401934841277c2825ed9ca580\"><strong>Conclusione<\/strong><\/p>\n\n\n\n<p>Al termine di queste operazioni, lo studio legale disporr\u00e0 di copie forensi integre di tutti i sistemi coinvolti, pronte per l\u2019analisi approfondita. Nelle fasi successive, in laboratorio, si potranno esaminare le immagini acquisite con software di analisi forense (come <em>Autopsy, EnCase, X-Ways <\/em>o altri) per ricostruire la timeline dell\u2019intrusione, identificare l\u2019eventuale malware o tecnica di attacco utilizzata, e confermare quali dati sono stati esfiltrati e come. I log di firewall e di sistema aiuteranno a determinare <strong>quando e<\/strong> <strong>verso dove <\/strong>sono stati trasmessi i dati rubati\u00a0 . Tutto questo, unito alle evidenze conservate in modo corretto, permetter\u00e0 eventualmente di presentare una prova tecnica solida alle autorit\u00e0 competenti e in sede legale, sostenendo le azioni che lo studio legale decider\u00e0 di intraprendere a tutela dei propri clienti e contro gli autori della violazione.<\/p>\n\n\n\n<p><strong>Fonti e riferimenti: <\/strong>le procedure adottate seguono gli standard riconosciuti in ambito digital forensics e incident response, tra cui le linee guida ISO\/IEC 27037:2012 per la gestione delle evidenze digitali. Strumenti come FTK Imager e write-blocker hardware sono prassi comune per garantire copie forens affidabili, cos\u00ec come l\u2019uso di hash crittografici per assicurare la conformit\u00e0 delle copie. La catena di custodia e la sigillatura dei reperti vengono gestite secondo le indicazioni della migliore dottrina forense 19 21 , assicurando in ogni momento l\u2019integrit\u00e0 e l\u2019autenticit\u00e0 del materiale probatorio raccolto. Con questo approccio metodico e documentato, l\u2019indagine potr\u00e0 proseguire sapendo di avere <strong>solide basi probatorie <\/strong>su cui fare affidamento.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Scenario e obiettivi dell\u2019indagine Il CSIRT Italia ha segnalato la presenza online di file riservati appartenenti ai clienti di uno studio legale, presumibilmente sottratti dal file server interno dello studio. In qualit\u00e0 di consulente forense incaricato, l\u2019obiettivo primario \u00e8 preservare e acquisire in modo forense tutte le evidenze digitali rilevanti (server, workstation e dispositivi di &hellip; <a href=\"https:\/\/www.fabriziogiancola.eu\/index.php\/2025\/10\/08\/data-theft-piano-di-intervento-informatico-forense\/\" class=\"more-link\">Leggi tutto<span class=\"screen-reader-text\"> &#8220;Data theft: piano di intervento informatico forense&#8221;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"iawp_total_views":2,"footnotes":""},"categories":[12,14],"tags":[51,99,52,77,100,101,50,79,53,80],"class_list":["post-3321","post","type-post","status-publish","format-standard","hentry","category-cyber-security","category-digital-forensics","tag-acquisizione-forense","tag-catena-di-custodia","tag-digital-forensics","tag-dump","tag-ftk-imager","tag-guymager","tag-hash","tag-log","tag-volatility","tag-write-blocker"],"_links":{"self":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/3321","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/comments?post=3321"}],"version-history":[{"count":26,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/3321\/revisions"}],"predecessor-version":[{"id":3355,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/3321\/revisions\/3355"}],"wp:attachment":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/media?parent=3321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/categories?post=3321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/tags?post=3321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}