Laboratorio
di informatica forense


Laboratorio forense

eLocal è dotata di un fornito laboratorio forense in grado di operare su qualsiasi cellulare, PC, DVR, cellulari, smartphone, tablet e supporto di memorizzazione di massa.

Acquisizione Memorie di massa

Recuperiamo dati da Hard disk, Pendrive, e altri dispositivi di archiviazione dati.

Acquisizione Smartphone e Tablets

L’acquisizione forense degli Smartphone viene realizzata tramite strumentazione certificata e aderendo alle pratiche e standard approvati dalla comunità scientifica forense. I software utilizzati dallo Studio vanno da Cellebrite UFED (di proprietà di eLocal Group Srl). Il prodotto dell’acquisizione forense di un cellulare è il suo intero contenuto estratto in modo certificato per utilizzo in Tribunale e a fini legali, eventualmente con perizia che ne attesti le fasi di copia, i procedimenti e gli strumenti utilizzati accompagnati dalla catena di conservazione delle evidenze digitali e dei reperti. La maggior parte degli smartphone possono essere acquisiti utilizzando almeno una delle tre modalità note per eseguire acquisizioni e copie forensi di telefonini:

  • fisica: l’acquisizione in modalità “physical” prevede la copia dell’intero contenuto della memoria flash del dispositivo, incluse le aree non allocate dove possono essere ancora presenti dati cancellati ma non ancora rimossi o sovrascritti;
  • filesystem: l’acquisizione in modalità “filesystem” permette di copiare i file presenti sulla memoria del telefonino ma non le aree libere, quelle cioè dove potrebbero trovarsi dei file cancellati ma ancora recuperabili;
  • logica: l’acquisizione in modalità “logical” è la più blanda e l’estrazione dei soli dati applicativi (elenco chiamate, SMS, chat, foto, video, etc…) senza acquisire né database (sqlite) né file di configurazione (plist, bplist, xml).
  • Analisi

    Il prodotto finale dell’acquisizione forense di smartphone, cellulari, tablet o iPad che viene consegnato al cliente consiste nei seguenti elementi:

  • la copia forense a uso legale per utilizzo in Tribunale o in cause civili, penali o stragiudiziali, certificata temporalmente tramite apposizione di marca temporale e data certa, realizzata tramite metodologie d’informatica forense e strumentazione valida per garantire che la prova digitale sia il più completa possibile (es. UFED Cellebrite);
  • il verbale di acquisizione forense contenente i valori hash relativi all’immagine forense del dispositivo acquisito in copia, che circostanzia il dispositivo duplicato in maniera forense e descrive il procedimento utilizzato e la strumentazione impiegata, firmato dall’operatore che ha eseguito la copia conforme dello smartphone;
  • un ambiente di analisi completo e funzionale per eventuali ulteriori attività investigative, esplorative o di reportistica, in sostanza un software che il cliente può utilizzare per “aprire” la copia forense eseguita, sfogliarne il contenuto, ricercare tra messaggi, email, immagini, video o dati presenti sul dispositivo ma anche eventualmente quelli cancellati, al fine di analizzarli ulteriormente, filtrarli, organizzarli, esportarli su file o stamparli su carta o PDF per produrre memorie, ulteriori relazioni o analisi investigative di parte.
  • Recupero Dati Cancellati

    Si esegue recupero dati da cellulare, smartphone e tablet grazie a strumentazione avanzata e tecnologie di ripristino che permettono di recuperare dati anche cancellati da diversi tipi di dispositivi mobili inclusi cellulari con sistema operativo Android o iPhone e iPad. Il recupero dati da smartphone, cellulari e tablet avviene in genere tramite strumenti di mobile forensics e modalità di acquisizione che verranno selezionate in base al tipo di dispositivo tra estrazione logica, filesystem, fisica, mediante JTAGo flasher box oppure tramite tecnologia chip-off. Alcune tecnologie permettono anche il recupero dati cancellati dai cellulari e smartphone, se non ancora sovrascritti dal sistema.

    Bonifica


    L’attività di bonifica cellulare viene eseguita da personale specializzato dotato di strumentazione in grado di acquisire in modo forensically compliant il contenuto del telefonino e analizzarne i singoli software e file di configurazione. I software spia si nascondono in genere mascherandosi da software legittimi, con nomi tipo “System”, “Security”, così da evitare che la vittima si accorga di essere sotto intercettazione e di avere il telefonino sotto controllo.

    La bonifica degli smartphone da virus, trojan e spy software consiste in un’attività strumentale di verifica dei cellulari tramite firme e pattern riconosciuti dagli strumenti di analisi forense come UFED della società Cellebrite, seguita da verifiche manuali circa alcuni indici di compromissione tipici di software d’intercettazione in grado di spiare Whatsapp, Facebook, le telefonate, gli SMS e l’intero contenuto del cellulare.

    La bonifica può essere accompagnata da una perizia sul cellulare o smartphone che ne certifichi l’eventuale presenza di programmi atti a intercettare o monitorare traffico o dati come whatsapp, sms, fotografie, filmati, posizioni GPS al fine. In questo caso, la perizia sui cellulari e gli smartphone permetterà di comprovare eventuali profili di accesso abusivo, violazione di corrispondenza o della privacy.

    Gli strumenti

    Ecco alcuni strumenti preenti nel nostro laboratorio.

    Cellebrite UFED 4PC

    Cellebrite UFED 4PC è la soluzione ufficiale più quotata per l'acquisizione di telefoni cellulari, Tablet e affini. eLocal Group posside una licenza di proprietà.

    Cellebrite UFED Physical Analyzer

    Uno strumento potente per l'analisi delle evidenze acquisite dai telefoni cellulari e dai tablet, in grado di creare report a valore in grado di supportare l'analisi del contenuto.

    Linux CAINE

    Il sistema operativo CAINE (Computer Aided INvestigative Environment) consente di operare in un ambiente nativo organizzato per l'analisi investigativa aiutata dal Computer

    Software ricerca file cancellati

    Molto spesso vengono cancellati intenzionlmente o accidentalmente file da dispositivi di memorizzazione di massa. Il nostro laboratorio è dotato di tutti gli stumenti atti alla ricerca e recupero dei files non più disponibili.

    Riparazione file danneggiati

    Siamo preparati anche ai recuperi di file danneggiati con software specifici per la ricostruzione delle porzioni di files (ad esempio nel video) che per una serie di ragioni risultano danneggiati dopo il recupero.