GID

Gruppo Investigazioni Digitali

Di cosa ci occupiamo?

La Computer Forensics

Per computer forensics si intende quella scienza che studia il valore che un dato correlato  a  un  sistema  informatico  o telematico  può  avere  in  ambito giuridico  o  legale . E’  una  branca  strettamente  collegata all’evoluzione dell’ICT, si comincia a delineare quando si registra un cambiamento  nelle  modalità di rilevazione, gestione,  raccolta  e  analisi  di  quegli elementi  definibili,  “lato  sensu”  (non processuale),  fonti  di  prova,  indizi  o testimonianza dove vi è una contrapposizione tra elementi tradizionali (naturali e fisici) ed elementi  inscindibilmente  correlati  a  un elaboratore elettronico o a una rete. La Computer Forensic può essere spesso suddivisa con diverse definizioni tra le principali ricordiamo :

  • Computer forensics (focus su elaboratore, inteso come workstation, server ma anche palmare, telefono cellulare,etc.)
  • Network forensics (focus su reti e suoi componenti, ad es. switch,router, servizi dnc,dhcp,etc.)
  • Intrusion forensics (focus su atti di violazione a sistemi informatici)

L’evoluzione tecnologica tende a rendere sempre più specifiche le definizioni e gli ambiti operativi creando di fatto nuove categorie, ad es. la sola telefonia cellulare può essere definita come SIM forensic.

In generale comunque possiamo identificare la computer forensic come l’insieme delle attività di identificazione, estrazione, interpretazione, conservazione e documentazione dei dati contenuti nei media dei computer o  nelle trasmissioni su rete dati, per l’acquisizione delle prove relative a un atto criminoso. La rapida evoluzione di questo settore è la conseguenza della crescita esponenziale dei crimini informatici ma mentre le metodologie forensi di base rimangono le stesse, la tecnologia cambia rapidamente spingendo a continui aggiornamenti delle metodologie operative e di analisi della computer forensic.

Nell’attività di indagine si trovano essenzialmente due casistiche :

  • Il computer è il mezzo usato per compiere un’ azione criminosa.
  • Il computer stesso è vittima di un crimine.

E’ evidente, considerando lo scenario appena (sommariamente) descritto, che per svolgere questa attività al meglio, l’osservanza di procedure chiare, bendefinite e aggiornate diviene una condizione necessaria per operare al meglio. Attualmente non esiste una legislazione precisa che individua in che modo operare ma da tempo ormai a livello internazionale sono state definite delle linee guide “best practies” che garantiscono lo svolgimento corretto di tutte le fasi legate ad una attività di computer forensic, è evidente che queste linee guida devono poi essere assimilate ed adattate al contesto legislativo di ogni paese in cui si opera.

Nell’ambito di una indagine di Computer Forensic le metodologie previste richiedono generalmente le seguenti fasi:

  • Acquisire la/le prove senza alterare o danneggiare i dati originali.
  • Autenticare che la prova recuperata è identica al dato in origine analizzato.
  • Analizzare i dati senza modificarli.

Ogni fase prevede metodologie e strumenti hardware e software specifici : dall’acquisizione delle memorie di massa dei computer e/o device elettronici (ad es. cellulari, macchine fotografiche,etc..) all’ autenticazione e integrità della prova, attraverso appositi algoritmi crittografici (ad es.Md5 e/o Sha), dall’indagine effettuata sui dati raccolti attraverso metodologie standard a strumenti e procedure dedicate per ogni possibile problematica conosciuta (ad es. crittografia, compressione, steganografia dei dati, conversione di formati, analisi e ricostruzione  di frammenti di file cancellati, etc.. ).

Il Servizio Offerto

Dall’esperienza sul campo, dei nostri professionisti sia nelle vesti di polizia giudiziaria a supporto delle istituzioni sia come consulenti di parte nominati da aziende e privati è emerso che pur presentando possibili analogie, ogni caso è diverso da un altro, ogni caso presenta proprie peculiarità e caratteristiche; questa considerazione ci ha portato all’idea di offrire un servizio più orientato ad una attività di analisi/consulenza frutto dell’esperienza che a una “suite di prodotti e soluzioni”. Il servizio proposto si basa su una metodologia detta “Full spectrum approach”, idea nata in seno a Air Force USA : la C.F. e la D.I. non  vanno  affrontate  per  i  soli aspetti tecnici ed informatici, sarebbe un approccio  limitativo  e  per  molti  versi inutile, si deve invece  tenere  in  considerazione sempre e comunque, 4 aspetti ben distinti ma indispensabili l’uno all’altro :

1) Tecnologico (aggiornamento costante sulle nuove tecnologie e sull’utilizzo dei sistemi e  tools  hw e sw di analisi più innovativi). I nostri esperti utilizzano  le più avanzate tecnologie a supporto delle attività di investigazione e analisi, assicurando il rispetto delle normative e che l’utilizzo di tali tecnologie sia validato quanto più possibile dalle “best practies” di riferimento.

2) Procedurale (raccogliere tutte le informazioni possibili, vagliare, analizzare,  protocolli, linee  guida,  utilizzare standard anche nell’uso  terminologia).  Lo scopo è quello di operare in modo da rendere  le evidenze e gli eventi identificati resistenti ad eventuali contestazioni  in  ordine  alla  genuinità, non  ripudiabilità,  imputabilità  e integrità. La conoscenza degli standard di riferimento nazionali e internazionali (ITSEC,ISO/IEC 15408 Common Criteria, ISO 27002) permettono ai nostri esperti di operare in maniera non invasiva anche in organizzazioni complesse e articolate dove sono già applicati meccanismi di sicurezza ICT avanzati.

3) Sociale (privacy  dell’ individuo  e  esigenze degli investigatori entrano in collisione). Grazie all’esperienza professionale dei nostri esperti le attività di investigazione vengono svolte nella massima riservatezza e confidenzialità, garantendo sempre ampia disponibilità ad operare nel contesto aziendale/governativo con discrezione e affidabilità.

4) Legale (si  può  utilizzare  la  tecnologia e  la metodologia più  avanzata, ma se non è conforme alle regole dettate dalla legge è inutile). Gestire le modalità di investigazione senza creare situazioni critiche ma in armonia con i riferimenti legislativi in essere (ad es. L. 300/1970, D.Lgs 518/92, L. 547/93, DPR 513/97, D.Lgs 196/03 )  è uno degli aspetti peculiari del servizio offerto in quanto prevede anche un’attività consulenziale proprio nella produzione della documentazione necessaria prima, durante e dopo l’attività investigativa necessaria a garantire la correttezza di quanto svolto dal punto di vista legale.

Il nostro servizio  di investigazione digitale può essere richiesto ogni qualvolta si ha il sospetto di un utilizzo inopportuno o non autorizzato di dati, informazioni e sistemi ICT: accesso non autorizzato a informazioni o sistemi protetti, sospetto di file trafugati o inviati esternamente all’organizzazione, traffico internet non autorizzato, etc. . Nel caso in cui si ha necessità di acquisire evidenze digitali ed informazioni , al fine di essere valutate come prova in eventuali denunce, reclami legali o attività di polizia giudiziaria il nostro servizio di Computer Forensic offre tutto il supporto necessario :

Digital Investigation

  • Recupero di dati corrotti, cancellati, verifica di eventuali manomissioni o modifiche non autorizzate al sistema informativo
  • Analisi del traffico di rete ed individuazioni di anomalie, malware e trasmissioni non autorizzate.
  • Security Analyst Intelligence è la specifica attività di prevenzione effettuata sull’analisi del traffico e dei log del sistema ICT del cliente, volta ad individuare tempestivamente qualsiasi possibile anomalia nell’ utilizzo delle informazioni e dei sistemi informatici .

Computer Forensics

  • Individuazione, acquisizione dei dati (data capture), messa in sicurezza del sistema (data integrity),  copia forense dei dati (mirror imaging), identificazione e il recupero di dati cancellati (data recovery), analisi di file nascosti, temporanei e di frammenti di file   analisi e documentazione dettagliata del dato memorizzato su supporti informatici, al fine di essere valutato come prova in eventuali denunce,  reclami legali o attività di polizia giudiziaria.
  • Network Forensic intercettazione, acquisizione  ed analisi di  informazioni su reti informatiche (dati, audio,video,etc.) , al fine di essere valutato come prova in eventuali denunce,  reclami legali o attività di polizia giudiziaria.
  • Consulenza tecnica di parte per la gestione di eventuali denunce, reclami legali o attività di polizia giudiziaria

Erogazione del Servizio

Il servizio viene offerto in tre modalità :

  • Digital Investigation
    Attività “post mortem”, si opera cioè in un contesto dove è necessario ricostruire la dinamica degli eventi critici e individuare gli attori e gli asset coinvolti.
  • Computer Forensic
    Attività “post mortem”, si opera cioè in un contesto dove è necessario acquisire tutte le evidenze possibili al fine di esibirle come prove legali in eventuali denunce,  reclami o attività di polizia giudiziaria.
  • Digital Investigation + Security Intelligence Analyst
    Attività di analisi investigativa mirata a prevenire eventi critici. Questa modalità comprende un insieme di servizi (ad es. lan assessment, vulnerability assessment, log management, etc. ) necessari a creare dei punti di controllo (checkpoint) che possono variare in base alle dimensioni dell’azienda.

Contattaci per ulteriori informazioni o per un preventivo gratuito


Carrello

Il vostro carrello è vuoto

Visitate il negozio

Connettiti



Categorie Corsi

News