Posta, server e sistemi
Acquisiamo e analizziamo dati da caselle di posta, server, NAS e infrastrutture informatiche, definendo la procedura in base all’architettura del sistema, alla continuità operativa e agli obiettivi dell’incarico.
Acquisizione forense di ambienti complessi
Posta elettronica, server e sistemi aziendali possono contenere informazioni distribuite tra archivi locali, servizi remoti, volumi di archiviazione, macchine virtuali, backup, registri di sistema e applicazioni. Per questo motivo l’intervento viene progettato dopo aver identificato le sorgenti pertinenti e le modalità con cui i dati vengono generati, conservati e modificati.
L’acquisizione può consistere, secondo il caso, nell’esportazione documentata di una casella di posta, nella copia di archivi e log, nell’acquisizione di volumi o supporti, oppure nella preservazione di una macchina virtuale. Le attività vengono svolte nel rispetto delle autorizzazioni disponibili e cercando di contenere l’impatto sui sistemi in esercizio.
Principali sorgenti acquisibili
La disponibilità e il livello di dettaglio dei dati dipendono dalla piattaforma, dalla configurazione, dai tempi di conservazione e dalle credenziali utilizzabili.
Caselle e archivi di posta
Messaggi, allegati, cartelle, metadati e intestazioni tecniche da caselle individuali o condivise, archivi locali e servizi di posta, secondo le modalità di esportazione disponibili.
Server, NAS e ambienti virtuali
Acquisizione di volumi, condivisioni, macchine virtuali, snapshot disponibili, configurazioni e dati applicativi pertinenti all’incarico.
Log e registri di sistema
Preservazione e analisi di log di sistema, accesso, autenticazione, applicazioni, posta, firewall e altri apparati utili alla ricostruzione degli eventi.
Come viene pianificato l’intervento
- Definizione del perimetro: individuiamo sistemi, account, intervallo temporale, dati di interesse, autorizzazioni e quesiti da affrontare.
- Valutazione tecnica: esaminiamo architettura, capacità, modalità di accesso, cifratura, conservazione dei log e possibili effetti sulla continuità operativa.
- Preservazione: adottiamo gli accorgimenti appropriati per limitare alterazioni, sovrascritture o perdita di dati soggetti a rotazione e scadenza.
- Acquisizione: esportiamo o copiamo le sorgenti selezionate con strumenti e formati compatibili con il sistema e con la successiva analisi.
- Verifica e documentazione: registriamo le attività eseguite, i riferimenti temporali, gli strumenti utilizzati e le impronte hash ove tecnicamente applicabili.
Continuità operativa e dati volatili
Un server in esercizio non può sempre essere spento o acquisito integralmente senza conseguenze. In questi casi vengono concordate priorità, finestre di intervento e modalità di raccolta compatibili con il servizio. I dati più esposti a modifica, rotazione o cancellazione vengono valutati per primi, documentando lo stato del sistema al momento dell’attività.
Quando può essere utile
- Contestazioni relative a email inviate, ricevute o cancellate.
- Accessi non autorizzati, compromissioni di account e incidenti informatici.
- Frodi interne, sottrazione di dati e violazioni delle procedure aziendali.
- Ricostruzione di attività svolte su server, applicazioni e risorse condivise.
- Preservazione preventiva di dati destinati a scadenza, rotazione o dismissione.
Analisi forense della posta elettronica
L’analisi di una comunicazione non si limita al testo visibile. Quando disponibili, vengono esaminati il messaggio nel formato originale, le intestazioni tecniche, gli identificativi, gli allegati, le relazioni tra messaggi e gli elementi utili a ricostruirne il percorso e il contesto.
Le sole intestazioni di un’email non dimostrano automaticamente l’identità della persona che l’ha materialmente inviata. Le risultanze vengono quindi valutate insieme ai dati del server, ai log di autenticazione, alle informazioni degli account e alle altre fonti pertinenti, evidenziando limiti e compatibilità tecniche.
Acquisizione e analisi sono attività distinte
La prima attività serve a preservare le informazioni disponibili e a documentarne la provenienza; la seconda serve a selezionare, correlare e interpretare gli elementi pertinenti al quesito. Separare le due fasi consente di definire l’approfondimento dopo la messa in sicurezza dei dati e di ridurre le attività non necessarie sui sistemi originali.
La fattibilità dipende dalla piattaforma, dai privilegi disponibili, dalle politiche di conservazione, dalla cifratura e dallo stato dell’infrastruttura. Una valutazione preliminare permette di individuare le sorgenti più rilevanti e di stabilire tempi, priorità e modalità operative.
Richiedi una valutazione preliminare
Indicaci il tipo di casella, server o sistema, il contesto, l’intervallo temporale di interesse e l’urgenza. Ti aiuteremo a individuare le sorgenti da preservare e la modalità di intervento più adatta.
