Analisi forense

Esaminiamo dati e dispositivi digitali per ricostruire eventi, individuare gli elementi pertinenti al quesito tecnico e documentare in modo verificabile le conclusioni raggiunte.

Dalla copia forense all’interpretazione dei dati

L’analisi forense è la fase successiva all’acquisizione. Salvo esigenze specifiche, l’esame viene svolto sulla copia di lavoro e non sul dispositivo originale, così da preservare la sorgente e consentire la verifica delle operazioni.

File, metadati, registri di sistema, database delle applicazioni e altri artefatti vengono elaborati in relazione a un quesito definito. Lo scopo non è raccogliere indiscriminatamente ogni dato disponibile, ma individuare le informazioni pertinenti e interpretarle nel loro contesto tecnico e temporale.

I risultati vengono valutati insieme ai limiti della sorgente, agli effetti del sistema operativo e alle eventuali informazioni mancanti, evitando conclusioni che i dati non consentono di sostenere.

Analista al lavoro su una copia forense con strumenti di ricerca e verifica dell’integrità

Principali attività di analisi

Il piano di lavoro viene definito in base al quesito, alle sorgenti disponibili e al contesto dell’incarico.

Timeline degli eventi

Correlazione di date, accessi, modifiche, esecuzioni e altri eventi per ricostruire una sequenza temporale.

File system e metadati

Esame di file, cartelle, proprietà, percorsi, partizioni, collegamenti e strutture tecniche della sorgente.

Dati cancellati e carving

Ricerca di file o frammenti residui, quando non risultano sovrascritti, cifrati o rimossi dal supporto.

Ricerca e indicizzazione

Filtri per parole chiave, intervalli temporali, tipologie di file, hash e altri criteri pertinenti all’indagine.

Attività dell’utente

Programmi eseguiti, documenti recenti, account, periferiche e altre tracce di utilizzo registrate dal sistema.

Correlazione tra sorgenti

Confronto tra dispositivi, account, comunicazioni, log e copie differenti per verificare coerenze e relazioni.

Timeline forense con una chiamata e un messaggio WhatsApp correlati cronologicamente

Ricostruzione temporale degli eventi

Una timeline forense riunisce eventi provenienti da sorgenti differenti: file system, log, browser, applicazioni, dispositivi esterni e altri artefatti. L’ordinamento cronologico aiuta a verificare quando una determinata attività può essere avvenuta e quali elementi risultano collegati.

I timestamp non vengono interpretati isolatamente. Fuso orario, sincronizzazione dell’orologio, aggiornamenti, copie di file e comportamento delle applicazioni possono modificare o duplicare le informazioni temporali. Per questo gli eventi vengono confrontati con più fonti e con il contesto disponibile.

Una data non equivale automaticamente a un’azione dell’utente. Origine e significato del timestamp devono essere verificati prima di attribuirgli valore interpretativo.

Sorgenti analizzabili

Computer e supporti

PC, notebook, HDD, SSD, memorie USB, schede e immagini forensi.

Smartphone e tablet

Database delle app, comunicazioni, media, log e metadati acquisibili.

Email e comunicazioni

Messaggi, intestazioni, allegati, archivi locali e dati di contesto disponibili.

Server, log e sistemi

Registri, archivi, configurazioni e dati provenienti da infrastrutture pertinenti.

Come si svolge l’analisi

1

Definizione del quesito

Individuiamo obiettivi, soggetti, periodo temporale, parole chiave e sorgenti pertinenti.

2

Verifica delle copie

Controlliamo identificativi, valori hash, formati e disponibilità dei dati acquisiti.

3

Elaborazione e indicizzazione

Prepariamo gli artefatti per ricerche, filtri e analisi ripetibili, registrando gli strumenti impiegati.

4

Esame e correlazione

Verifichiamo gli elementi rilevanti, confrontiamo più sorgenti e controlliamo ipotesi alternative.

5

Documentazione dei risultati

Organizziamo evidenze, riferimenti, limiti e conclusioni nella forma concordata per l’incarico.

Correlare le evidenze senza perdere il contesto

Un singolo artefatto raramente descrive da solo l’intera vicenda. L’analisi può confrontare una stessa informazione tra computer, smartphone, account, email, registri e supporti differenti, verificando compatibilità temporali e tecniche.

La correlazione non deve confondere associazione e attribuzione: la presenza di un file, di un account o di un dispositivo non dimostra automaticamente chi abbia compiuto una determinata azione. Le conclusioni vengono formulate in proporzione alla qualità e alla completezza degli elementi disponibili.

  • confronto di hash, nomi, percorsi e metadati;
  • ricostruzione di trasferimenti e utilizzo di supporti esterni;
  • verifica di comunicazioni e allegati tra sorgenti diverse;
  • allineamento di eventi in una timeline comune;
  • valutazione tecnica di risultati prodotti da altre parti.
Correlazione tra computer, smartphone, memoria USB e disco esterno in un’analisi forense

Risultati e documentazione

La forma della consegna viene concordata in base all’utilizzo previsto.

Relazione tecnica

Metodo, sorgenti, strumenti, risultati, riferimenti agli artefatti e limiti dell’analisi.

Timeline ed esportazioni

Sequenze di eventi, elenchi filtrati e contenuti pertinenti in formati consultabili.

Elementi verificabili

Percorsi, hash, identificativi e riferimenti che consentono di controllare quanto riportato.

Limiti da considerare

Dati cancellati

Il recupero non è garantito: sovrascrittura, cifratura, TRIM e stato del supporto possono rendere i dati parziali o non più disponibili.

Cifratura e credenziali

File, volumi e applicazioni protetti possono impedire o limitare l’accesso alle informazioni.

Attribuzione delle azioni

La presenza di un artefatto non identifica automaticamente la persona che ha utilizzato il sistema.

Assenza di tracce

L’assenza di un dato non dimostra necessariamente che un evento non sia avvenuto: la sorgente può non averlo registrato o conservarlo.

Domande frequenti

È necessaria una copia forense?

Normalmente sì, perché consente di analizzare una sorgente preservata e verificabile. In situazioni particolari il piano operativo può includere esami live o dati già acquisiti da terzi.

Analisi e recupero dati sono la stessa cosa?

No. Il recupero mira a rendere nuovamente accessibili dati persi; l’analisi forense interpreta artefatti digitali in relazione a uno specifico quesito.

Si possono cercare parole o file specifici?

Sì, quando formato e stato dei dati lo consentono. I criteri di ricerca vengono definiti e documentati prima o durante l’analisi.

Quanto tempo richiede?

Dipende da volume dei dati, numero di sorgenti, complessità del quesito, cifratura e quantità di artefatti da verificare.

Definiamo il quesito tecnico

Indicaci dispositivi o copie disponibili, contesto, periodo di interesse, obiettivo dell’analisi e scadenze. Ti aiuteremo a definire un perimetro proporzionato al caso.