fbpx

computer forensics

  • Aci Bollonet: trattamento illecito ma con Posta Elettronica Certificata

    E' la fine di settembre, ore 21: mi sono dimenticato di pagare il bollo! Meno male che c'è bollonet!

    E meno male.....

    Quanto al servizio internet niente da eccepire, anzi ottimo servizio anche sul piano del business. Insomma la sera del 30 settembre alle 21:35 riesco a completare il pagamento del bollo.

    Qualche giorno dopo ricevo un'email  da "Automobil Club Italia". Il  subject riporta: "POSTA CERTIFICATA: Ricevuta e Fattura di Pagamento per il servizio BolloNet."

    La prima reazione è "il servizio funziona bene! " ero preoccupato visto che erano passati 6 giorni senza notizie del mio bollo.

    Apro quindi l'email e noto che si tratta di un messaggio di Posta Elettronica Certificata (PEC);  penso subito  "cavolo l'ACI è avanti!"

    Vado avanti aprendo la busta PEC e al suo interno trovo 19 pdf e 19 fogli excel un po' troppi per un bollo!

    i pdf sono del tipo n.autorizzazione_targa.pdf e contengo il tagliando del bollo da stampare; le fatture  sono in fogli excel. Un bel lavoro! peccato che oltre al mio bollo e alla relativa fattura ci fossero anche quelli di altre 18 persone, con tanto di nome,cognome, codice fiscale, targa etc.... il tutto in una sicurissima mail pec!

     

    Il trattamento illecito dei dati è palese, ho quindi scritto prima a bollonet per chiedere chiarimenti,  ma non hanno mai risposto....

     

    Ho quindi scritto anche all'ufficio del garante, visto che da bollonet nessuno aveva risposto,  ma anche qui... niente, nanche una mail del tipo "prenderemo in considerazione la sua segnalazione"

    Morale: se vi succede una cosa del genere, chiamate il vostro legale di fiducia, incaricate un esperto di computer forensic di cristallizzare le prove e provvedere a citare in giudizio chi si è permesso un trattamento illecito dei vostri dati.

  • Arduino Forensics

    Arduino : next step Forensics

    Ardunino più o meno lo conoscono tutti, anche solo per sentito dire. 

    Arduino è una scheda elettronica di piccole dimensioni utilizzata per creare rapidamente prototipi e per scopi hobbistici, didattici, proprio questo ultimo aspetto lo sta facendo divendare famoso e diffuso anche anche a livello professionale, per controllare e pilotare un gran numero di dispositivi. Per questo motivo prima o poi dovremo dovemo confrontraci con le problemaiche di Digital Forensics su questi dipositivi e "imparare" ad estrarre da loro el inforamzioni più utili e importanti.

    Quancuno ha iniziato a lavorarci, qualche anno fa presntando un lavoro al DFRWS Conference nel 2014,  relativo a "The application of reverse engineering techniques against the Arduino microcontrollers to acquire uploaded applications." Sono passati 2 anni da questa pubblicazione, e Arduino nel frattempo è cresciuto e diffuso molto... iniziamo a lavorarci magari in laboratorio... domani ne potremmo avere bisogno.  Ecco le slide di Stive Watson su Arduino Forensics http://www.slideshare.net/watsonsteve/arduino-forensics 

  • Cancellazione Sicura

    Servizio Cancellazione Sicura: hard disk, chiavette usb, smartphone

    La dismissione o la sostituzione di memorie di massa o nastri è certamente una delle attività più critiche e sottovalutate all'interno delle aziende.

    I dischi presenti nei sistemi storage, server, desktop e portatili contengono molti dei dati che vengono trattati giornalmente; copie temporanee di file o interi archivi locali.

    Smaltire un disco senza che questi dati vengano cancellati in maniera sicura, come indicato dal Garante Privacy, equivale a cedere i propri dati a sconosciuti.

    I nostri servizi di cancellazione sicura permettono di procedere alla cancellazione sicura di :

    • File e directory
    • Hardisk
    • Nastri
    • Chiavette usb
    • Memory card
    • SIM
    • Cellulari

    contattci      preventivio
  • Chi siamo

     Dott. Alessandro Fiorenzi

    foto-web Studio Fiorenzi Allineamento sx

    Alessandro Fiorenzi si laurea nel gennaio 2001. Inizia immediatamente lavorando nel reparto IT Security di Infogroup S.p.A, azienda IT del Gruppo Banca CR Firenze oggi Gruppo IntesaSanPaolo, occupandosi di Sicurezza Informatica Policy  e di Hardening. Fra i suoi incarichi la gestione  degli aspetti tecnici e organizzativi della sicurezza informatica di Infogroup e della Capogruppo Banca CR Firenze presso la quale ricopre inoltre il ruolo di Security Management,  oltre a definire obiettivi e piani per sicurezza aziendale. dal 2009 è all'interno della struttura di Internal Auditing, ed è LeadAuditor ISO27001.  Si interessa, fin dal 2001, di Computer Forensic in ambito finance enterprise.

    Nel 2004 inizia la propria attività di Consulente Informatico Forense, ovvero esperto di Computer Forensics collaborando con la polizia giudiziaria di Firenze ma anche con le parti private e i loro legali nella risoluzione di controversie civili e penali.

    Alessandro Fiorenzi è

    • Laureato in Scienze dell'Informazione gennaio 2001
    • Iscritto Albo CTU Tribunale di Firenze n. 7519 dal 2003
    • Iscritto Albo Periti Tribunale di Firenze n. 422 dal 2011
    • Iscritto Elenco Consulenti Arbitratori CCIAA Firenze dal 11/07/2013
    • Iscritto a ruolo Albo Periti ed Esperti CCIAA Firenze n. 1130 dal 2004
    • Abilitazione NATO NCAGE AT568
    • Iscritto Albo Docenti per corsi di formazione SIAF - Sistema Informatico dell'Ateneo Fiorentino
    • Membro del Comitato Scientifico CLUSIT - Associazione Italiana per la Sicurezza Informatica
    • Membro di CLUSIT dal 2001
    • Memboro Direttivo Osservatorio Nazionale Informatica Forense ONIF
    • Membro IISFA
    • Iscritto ad ABILAB
    • Certificato ECCE European Certificate on the fight against Cybercrime and Electronic Evidence (ECCE) 2009
    • Docente Corsi IFTS PIN Prato
    • Docente Corsi ordine Ingegneri Pistoia
    • Iscritto a "Consulenti Tecnici" ( il portale della consulenza Peritale)
    • Relatore al convegno "la sicurezza dell'informazione in azienda: gli standard ISO - caso Infogroup S.p.A"
    • Relatore al seminario "Reati in azienda e computer forensics"
    • Relatore al seminario " Il marchio in rete: scenari di violazione della proprietà intellettuale e metodi di raccolta"
    • Relatore al seminario "Aziende in Rete: reati e metodi di raccolta delle prove"
    • Relatore e organizzatore di eventi e convegni su Digital Forensics e Cyber Security
    • Collabora per gli aspetti di computer forensics al libro "Internet e il danno alla persona" edito da Giappichelli nel 2012
    • Lead Auditor ISO 27001

    Curriculum Vitae 

  • Computer Forensics

    Computer Forensics: indagini su computer desktop, portatili, netbook  e server, ambienti virtuali vmware xen 

     I servizi di Computer Forensics hanno come principale oggetto delle indagini computer desktop, portatili, netbook  e server. Le indagini tecniche si svolgono sopratutto sulle memorie di massa isolate( pen drive, cd, dvd, etc.. ) o facenti parte del sistema (hard disk) In particolare la nostra consulenza è indirizzata verso:

    • Indagini e analisi  di supporti digitali  aziendali
    • Indagini e analisi  di supporti digitali  per reati contro l'azienda o condotti mediante strumenti aziendali
    • Indagini online in Internet per reati contro l'azienda
    • Indagini aziendali violazione dl 231
    • Indagini e analisi di supporti digitali e online in Internet per la reati contro la persona o  contro il patrimonio
    • Indagini e analisi di supporti digitali e online in Internet per violazione del diritto del lavoro
    • Consulenze tecniche di parte CTP
    • Consulente tecniche di ufficio CTU
    • Incident handling

    Operiamo su un'ampia gamma di supporti digitali cercando di mantenere il passo con le nuove tecnologie.

    I supporti su cui operiamo:

    • Hard disk
    • Sistemi Raid
    • Nastri LTO
    • Usb key, Memory Card
    • Sistemi di posta
    • Sistemi di virtualizzazione e virtualizzati
  • Copia/Acquisizione Forense

    Copia Forense, Acquisizione Forense

    Acquisizione :computer smartphone, chiavette usb, pagine web, server, mail, whatsapp, telegram, signal, automotive, droni etc..

    I nostri servizi di Copia e Acquisizione forense, permettono di eseguire la copia o acquisizione forense di computer, smartphone, tablet, contenuti web, utilizzando tecniche e procedure di Digital Forensics.

    Il servizio è rivolto a Polizia Giudiziaria, Autorità Giudiziaria, Studi Legali, avvocati, agenzie investigative, aziende e privati, che hanno necessità di dare valore probatorio alle fonti di prova informatiche cristallizzandole secondo la prassi delle procedure forensi prima che intervengano altri fattori esogeni che ne possano alterare o distruggere i contenuti

    Per eseguire la copia forense ci avvaliamo delle migliori tecnologie presenti sul mercato: write blockers: Tableau, Ultradock, duplicatori:Falcon, distribuzioni Linux forensi Deft e Caine

    La copia/acquisizione Forense riguarda in generale i seguenti dispositivi:

    - Computer
    - Server
    - dischi, nastri backup,
    - chiavette USB, CD, DVD
    - vhs
    - Smartphone, Tablet, cellulari
    - Contenuti Web
    - Profili social
    - Contenuti Cloud
    - mail box
    - WhatsApp, Telegram, Signal, WeChat

    etc..

    La copia o acquisizione forense di una fonte di prova risulta fondamentale nella risoluzione di un contenzioso in quanto cristallizza con metodi forensi il contenuto dell'informazione permettendo, fornendo valore legale alla prova,  ove si renda necessario di  chiarire il quadro indiziario.

    Perché il consulente informatico forense possa procedere all'analisi delle fondi di prova, procederà come da prassi scientifica, all'esecuzione di una doppia copia forense. Una verrà allegata alla Perizia, l'altra sarà oggetto di indagini da parte del consulente informatico forense.

    contattci      preventivio
  • Digital Intelligence OSINT

    Indagini e Perizie Digital Intelligence OSINT

    Le indagini informatiche di Digital Intelligence OSINT, permettono la raccolta d'informazioni mediante la consultazione di fonti di pubblico accesso. La cristallizzazione delle evidenze raccolte e l'uso di una tecniche e tecnologie dell'Informatica Forense, garantisce l'usabilità e il non ripudio in ambito processuale.

    Gli elementi che possono essere oggetto di una indagine OSINT sono:
    - Indirizzo email
    - Dominio web, sito web,
    - Profilo social
    - Numero di Telefono
    - Indirizzo IP
    - etc..

    una indagine OSINT può risultare fondamentale nei casi di:
    - diffamazione
    - verifica profili personali dipendenti, collaboratori, aspiranti collaboratori
    - verifica web reputation
    - back tracking di un data breach o di un accesso abusivo a sistema informatico
    - indagini commerciali, e legali
    - indagini giornalistiche
    - indagini investigative

    Oltre a molti altri contesti in cui le fonti aperte possono fornire nuove e utili informazioni a partire da quelle che abbiamo.

    L'utilizzo delle indagini OSINT permette di aggiungere conoscenza e relazioni ai dati che abbiamo.

    Una indagine OSINT è in grado di rilevare molteplici aspetti dei dati da cui partiamo, a titolo meramente esemplificativo è possibile:
    -
    - risalire alla persona associata a un profilo o nick name
    - risalire all'indirizzo civico della persona e al suo numero di telefono
    - Individuare nomi e società collegati a nomi di dominio.
    - Investigare siti web attraverso gli operatori avanzati di Google e specifici DNS tools;
    - Analizzare e tracciare profili personali e societari attraverso l'uso dei registri pubblici
    - ricostruire le relazioni con altri utenti e scoprire interconnessioni con soggetti inizialmente estranei
    - ricostruire tutta la vita digitale, mail, post, siti, etc.. di un soggetto

    Una Indagine OSINT fornisce elementi spesso fondamentali anche alle indagini tradizionali allargando lo spettro di analisi e individuando le relazioni fra i soggetti del web, a condizione che sia svolta da un professionista, un consulente informatico forense accreditato e di consolidata esperienza che operi secondo gli standard e le best practice della digital forensics e della pratica forense italiana

    L'indagine non può prescindere dall'esecuzione di una copia forense o acquisizione forense delle pagine web o dei dati raccolti, copia che sarà allegata alla perizia informatica prodotta dal consulente informatico forense.

    contattci      preventivio
  • Glossario Computer Forensics

    Glossario Computer Forensics

    Nota: I termini sono riportati in inglese, lingua in cui tali termini si sono formati ed evoluti, onde evitare fraintendimenti . I termini di questo glossario si riferiscono al contesto della Computer Science e della Digital Forensics,  questi termini potrebbero avere altri usi in contesti diversi. .

    Acquisition: The stage in a computer forensic investigation wherein the data involved is collected. Often the means used is a bit-by-bit copy of the hard disk or other media in question.

    Active Files, Active Data: Data on a computer that is not deleted and is generally accessible and readily visible to the user under normal use.

    Allocated space / sector / block: The logical area on a hard disk or other media assigned to a file by the Operating System (See Unallocated)

    Allocation Block: (see block, cluster): A contiguous group of sectors, which is the smallest amount of space, assigned to a file by an operating system such as Microsoft Windows.

    Ambient Data: The converse of active data. Ambient data is information that lies in areas not generally accessible to the user. This data lies in file slack, unallocated clusters, virtual memory files and other areas not allocated to active files.

    Application: Commonly known as a Program, or (sometimes) Software. The software used to access and create files or documents. Microsoft Word and Corel WordPerfect are applications that work with word processing documents. Microsoft Excel and Lotus 1-2-3 are applications that work with or spreadsheets.

    Archival data: Often backups, archival data is generally kept on another media, such as on tape or CD, and is often compressed. Such data is not usually immediately available to the user and may need to be restored from the archival media to be accessed.

    ASCII: Stands for “American Standard Code for Information Exchange.” Pronounced “Ass-key.” Often referred to as “ASCII text.” ASCII assigns a numerical code for each character on a keyboard; hence ASCII text is often comprehensible to humans without much interpretation.

    Attribute: See File Attribute.

    Audit Trail: A chronological record of system activities on a computer or network security system that may keep track of user actions such as logins, file access, and other activities.

    Back door: A means of accessing or controlling a computer that bypasses normal authentication, while remaining hidden from the casual user. A backdoor may be a program that has been installed surreptitiously, or may be a hidden function of a legitimate program.

    Backdoor Trojan: A generic name for Trojan horse programs that open a backdoor and allow an unauthorized user remote access to a computer.

    Backup: A copy of data that is kept as an emergency measure against data loss in a system or media failure, and/or for the purpose of keeping archival data. Backups may be compressed or encrypted, and are usually kept separate from the system containing the active version of the data that is being backed up.

    Backup Server: A computer on a network that is designed to be used to back up data from other computers on the network. A Backup Server may also be used as a File Server, a Mail Server or as an Application Server.

    Backup media: The media on which backup data is kept. May be almost any form of media, such as tapes, CD-ROM, DVD, external hard disks, floppy diskettes, magneto-optical disks, WORM disks, Zip disks, Jaz disks, and many others.

    Bit: The smallest unit of data, consisting of a zero or a one, stands for “binary digit.”

    Bitstream or bit-by-bit copy: A copy of every consecutive sector on a hard disk or other media, without regard to allocation of data. Sometimes confused with mirroring.

    Block: An allocation block, as referred to in the Macintosh Operating System.

    Browser: See web browser.

    Buffer: An area of memory used to temporarily hold data. May be written to a buffer file.

    Buffer file: A file written from data in a buffer.

    Burn: The process of creating a CD-ROM or DVD.

    Byte: Eight consecutive bits. The unit in which computer storage and computer memory is measured. The amount of data necessary to make a single character (such as a letter or a number) of data. Part of the words kilobyte (KB), megabyte (MB), gigabyte (GB), terabyte, petabyte.

    Cache: French for “hide.” A storage area where frequently accessed data may be kept for rapid access. There are three main types of cache: disk cache, memory cache, and program cache. See these entries for further explanation

    CD-ROM: Stands for Compact Disk – Read Only Memory. A plastic disk able to hold approximately 650MB to 700MB of data. A common storage medium for data.

    Chain of Custody: As in other fields, a record of the chronological history of (electronic) evidence.

    Cluster: Also known as allocation blocks, a cluster is a contiguous group of sectors that is the smallest amount of space assigned to a file by an operating system such as Microsoft Windows. Clusters generally range in size from 4 sectors to 64 sectors.

    Compressed file, zipped file: A file that has been encoded using less space than the original file in its uncompressed state. A zipped file may contain more than on compressed file.

    Computer Forensics: A practice and methodology that may involve any or all of the following: electronic imaging, electronic discovery, forensic analysis of discovered information, preparation of information in a manner useful to the client or court, presentation of findings to the client or attorney, such as in written, oral and/or electronic reports, testimony in a court of law, when necessary, by an expert witness, including deposition and jury trial.

    Cookie: In Internet or browser usage, a small file accessed by a web browser and written to the user’s computer. A shortened form of the term, “magic cookie,” cookies are used for tracking, authenticating, and maintaining information about users, generally to ease interaction between a website and a user. Cookies stored on a user’s computer often contain the times and dates that the user accessed a given website.

    Corrupt Data, Corrupt File: A file that is damaged. Damage may have occurred inadvertently during transmission, copying, through operating system error, physical damage to the media on which the data was stored, or though other means.

    Data: Information stored on a computer that is not part of a program.

    Default: A setting or value automatically assigned without user intervention.

    Deduplication (“De-duping”): A process performed on a collection of data from multiple sources, whether from several files, several different locations or computers, or from within a collective email file. The process is designed to yield one unique copy of ant given record, file, or email.

    Delete: To cause a file or email to move from an active or live state to an ambient state, usually performed by moving a file to the trash or recycle bin on a computer, or by selecting a file and then pressing the delete [Del] key. Deleted files, while generally not removed from the computer until overwritten, are nonetheless invisible to the user.

    Desktop (1): In a Graphical User Interface (GUI), such as Windows or the Macintosh OS, the view of files and folders visible before a user opens any windows. The desktop is actually a graphic view of an invisible folder stored on the computer’s hard disk.

    Desktop (2): A desktop computer.

    Desktop computer: A stand-alone computer that is generally designed to be connected to a keyboard and monitor (although some desktop computers, such as the Macintosh iMac, have the monitor integrated), as distinct from a laptop, and from a Server.

    Directory: A hierarchically arranged listing of files stored on a hard disk or other media. The topmost directory is the root directory. Subsequent directories nested within the root directory are called subdirectories. In a GUI, a directory appears as a file folder.

    Disk: Generally a hard disk. Floppy diskettes are often referred to as disks.

    Disk cache: RAM used to speed up access to stored data. May be part of a computer’s RAM, or may be RAM integrated into the disk drive itself.

    Disk Mirroring: Data copied to another hard disk or to another area on the same hard disk in order to have a complete, identical copy of the original.

    Dot: A period that is used as part of a filename, or as part of a Web address. It is pronounced “dot.” For instance, a file named “glossary.doc” would be spoken as “glossary dot doc.” Similarly, a web address, such as www.yahoo.com would be spoken as “W-W-W dot yahoo dot com.”

    Download: The transfer of data between two computers, generally over a network. One may download a file from the Internet, for instance. Commonly used as a misnomer for “copy.” For instance, a common mistake is to say that one downloaded a file from a diskette, when a file is copied (not downloaded) from a diskette.

    E-mail: Electronic mail. Messages transmitted over a computer network or networks, directed to a given user, either individually or in bulk. Email may be stored in a largely text format, or in an encrypted form. Microsoft Outlook stores email messages in an encrypted file; most other email programs store messages primarily as text.

    Encryption: A process to render a file unreadable to unauthorized persons or devices.

    Exabyte: 1024 Petabytes

    Extension, File Extension: Part of a file’s name, usually follows a “dot,” or period in a file name. Some operating systems, such a Microsoft Windows, depend on the extension to know what program is used to open the given file. Microsoft word documents, for instance have “.doc” as their extension.

    Filename: The name of a file. Sometimes refers to the name of a file minus its extension.

    File Attribute: Properties associated with a file that are kept with the file directory listing. Such attributes include the date and time the file was last accessed, created, or modified,

    File Server: A computer on a network that is used to store files from and for multiple users on the network. A file server may also be used as an Application Server, a Backup Server, or as a Mail Server. May be used as a backup for the computers on the network.

    File signature: Information contained within a file that identifies its type, even though the file’s extension may have been altered.

    File slack: Information at the end of a cluster that has not been completely filled, or overwritten by a file. The file may end before the end of the cluster, hence the cluster may contain data from a previous file

    Floppy diskette, floppy: A square-shaped enclosure holding a rotating flexible plastic magnetically coated disk used for data storage. At this writing, the 8″ and 5.25″ variety of floppy diskette is obsolete, and the 3.5″ variety is approaching obsolescence. The most common floppy diskettes hold 1.44 MB of data.

    Folder: in a GUI, a folder is the representation of a directory and may contain files and other, nested folders.

    Forensic copy: See Forensic Image.

    Forensic image: A forensically sound and complete copy of a hard drive or other digital media, generally intended for use as evidence. Such copies include unallocated space, slack space, and boot record. A forensic image is often accompanied by a calculated Hash signature to validate that the image is an exact duplicate of the original.

    GIF: A common format for storage of digital images. An acronym for Graphic Interchange Format. Pronounced “Jiff.” GIFs have the file extension “gif”

    Gigabyte (GB): 1024 megabytes (MB), or 1,048,576 KB, or 1,073,741,824 bytes. Often considered (incorrectly) to be one billion bytes.

    GUI: Graphical User Interface. An image and icon-based interface designed to make manipulation of computer data easy. Common GUIs are Microsoft Windows and the Macintosh OS.

    Hard disk: Currently the primary storage medium for data on most computers, Consists of a sealed chassis containing a rapidly spinning metal-coated platter, or stack of platters that are magnetically encoded as data is written to them by enclosed magnetic read/write heads.

    Hash, hash value: A hash is a number generated from a string of text. A hash value may be generated for a single file, or for an entire hard disk. A matching hash virtually guarantees that a copy is identical to the original. It does not absolutely guarantee this.

    HTML: An authoring language, written in text that is used to create documents for access on the World Wide Web. Such documents may be web pages, or otherwise enhanced documents or email messages. Stands fro Hypertext Markup Language.

    Instant Messaging: Abbreviated as IM. A text-based electronic communication in real time. It is similar to a telephone call in its immediacy; it is different in that it is generally text-based.

    IP Address: An electronic identifier for a specific computer or device on the World Wide Web or other (internal or external) electronic network using the TCP/IP protocol. An IP address is a series of four numbers separated by periods (“dots”), Each number is a value from 0 to 255. An example could be 192.168.55.207 “IP” stands fro “Internet Protocol”

    ISP: Internet Service Provider. A provider of access to or connection to the Internet. Some large ISPs include Earthlink, Yahoo, Roadrunner, SBC Global.

    JPEG: A common format for storage of digital images. An acronym for Joint Photographic Experts Group. Pronounced “jay-peg.” JPEGs have the file extension, “jpg”

    Keylogger: A program or device designed to keep a record of the keys types on a computer. May be used for monitoring, or espionage, such as to collect passwords. Some keyloggers may be accessed remotely.

    Keyword search: A common technique used in computer forensic and electronic discovery, a keyword search is usually performed to find and identify every instance on a computer or other media of a given word or phrase, even if said word or phrase occurs in unallocated space or in deleted files.

    Kilobyte (KB): 1024 bytes. Used to measure both storage and memory. Often considered (incorrectly) to be one thousand bytes.

    Log files, or logfile: A record kept by many applications and operating systems of various activities by saving to a file – the logfile.

    Mail Server: A server on a network that processes incoming and outgoing electronic communications, especially email. A mail server generally has security policies in place to allow only authenticated users access to given email communication. The mail server may store a copy of users’ data in various forms, or may not store copies of users’ data. A mail server may be utilized for multiple functions, including as a File Server, Application Server, or Backup Server.

    Megabyte (MB): 1024 Kilobytes (KB), or 1,048,576 bytes. Often considered (incorrectly) to be one million bytes.

    MAC dates: File attributes in the Windows operating system. Thee MAC dates are the date a file was last Modifies, Last Accessed, and Created.

    Master File Table, or MFT: In an NTFS file structure (used in most versions of Windows from 1993-2014 (so far). The MFT contains substantial metadata about all files in a given volume, including file physical locations, MAC dates (times), file permissions, file size, the file’s parent directory, entry modification time, and at times, the entire content of small files.

    Megabyte (MB): 1024 Kilobytes (KB), or 1,048,576 bytes. Often considered (incorrectly) to be one million bytes.

    Memory Cache: Also known as RAM cache, it is high-speed memory designed to store frequently accessed or recently accessed data for quick use. On the Macintosh, RAM cache may also be disk cache.

    Native format, native environment: The original configuration or program in which a file or other data was produced.

    Network: A group of computers electronically linked so as to be able to share files or other resources, or for electronic communication. The World Wide Web is a particularly large network.

    NTFS: NEW Technology FIle System. An operating system developed by Microsoft and released in 1993 with Windows NT 3.1. It has subsequently been used in versions of Windows through Windows 8.1. Previous versions of Windows had been dependent on the DOS operating system.
    Operating System, OS: The suite of programs that allow a computer to operate. The OS controls signals from and to input devices (such as mouse, keyboard, microphone), peripherals (such as hard disks, CD-ROM drives, and printers), output devices (such as monitors and speakers) and performs the basic functions needed for a computer to operate. Common operating systems include Windows XP, Macintosh OS X, and Linux.

    Page File: See Windows Swap File

    Partition: A logical delineation on a disk drive such that a single drive acts as two, smaller disk drives.

    PDA: Personal Digital Assistant. A handheld device that may have multiple functions, one of which is usually a form of electronic data. PDAs may contain programs, data files and storage, a digital camera and associated storage, a telephone and associated address / phone book and other data.

    PDF: An Adobe Acrobat document. A common format for graphic and text files that is not easily altered. Stands for Portable Document Format.

    Petabyte: 1024 Terabytes, or 1,125,899,906,900,000 bytes – a bit more than a quadrillion bytes

    Program: Also known as an Application, or (sometimes) Software. The software used to access and create files or documents. Microsoft Word and Corel WordPerfect are applications that work with word processing documents. Microsoft Excel and Lotus 1-2-3 are applications that work with or spreadsheets.

    Protocol: An agreed-upon standard format for communicating, connecting, or transferring data between two computers or devices. There are many communications protocols, such as TCP (Transmission Control Protocol).

    RAM: Random Access Memory. Computer chips that store digital data in electronic form.

    Sector: The basic and smallest unit of data storage on a hard disk or other electronic media. Generally consists of one contiguous area able to hold 512 bytes of data.

    Server: A computer on a network that shares data with other computers on the network.

    Shadow Volume: Also known as Shadow Copy, Volume Snapshot Service, Volume Shadow Copy Service, or VSS, is included with Microsoft Windows and makes automated backup copies of some files and operating system components from time to time on NTFS-based computers.

    Software: Anything that can be stored electronically. Includes programs, files, and data.

    Spoliation: Intentional, negligent, or accidental destruction or alteration of evidence.

    Standalone: A computer that is not connected to a network.

    Steganography: A means of writing hidden messages such that only the intended recipient knows of its existence. An modern example may be the replacing a few pixels of a digital image with a digital message. The slight change in the image may be unnoticeable to a person who does not know where in the image to look. Older forms of Steganography, which means “covered writing” in Greek, date back more than 2.000 years.

    TCP/IP: A suite of communications protocols used to allow communication between computers on a network, such as on the Internet. Stands fro Transmission Control Protocol / Internet Protocol.

    Terabyte: 1024 Gigabytes, or 1,099,511,627,800 bytes – a bit more than one trillion bytes.

    Unallocated: The area on a hard disk or other media that is not (or is no longer) assigned to a file by the Operating System. May contain intact deleted files, remnants thereof, or other data.

    User: A common term for the person using a computer, also referred to as an End User.

    Web Browser: Often simply referred to as “browser.” A program used to find and display web pages. Popular browsers as of this writing are Microsoft Internet Explorer) often abbreviated as “Explorer,” Netscape Navigator, Mozilla Firefox, and Apple Safari.

    Windows Swap File: Also known as the Page file, or Pagesys file. A virtual memory file used by Microsoft Windows as a kind of scratch pad during most operations. The Swap file is usually quite large and often contains records of operations or remnants of files not found elsewhere.

    World Wide Web: A system of servers connected through the Internet that support HTML documents.

    Yottabyte: 1024 zettabytes.

    Zettabyte: 1024 exabytes.

  • Il mio primo libro su forensic e reati in Internet

     Il titolo è "Internet e il danno alla persona I casi e le ipotesi risarcitorie. Con elementi di Computer Forensics  a cura di Alessandro Fiorenzi. Intervista al Vice Questore Aggiunto Polizia Postale Stefania Pierazzi." ed è il libro a cui ho collaborato insieme all'Avv. Debora Bianchi.

     

     

    Si tratta di un case book di taglio concreto ed agevole che pone l’accento sulla pratica nei tribunali. La parte processuale vuole rispondere a domande frequenti. Quale giudice e quale diritto nell’Internet? Quando è possibile il sequestro di un sito web? Quali misure cautelari per il danneggiato? La parte dedicata all’assunzione della prova è uno dei nodi cruciali per il danneggiato. Tuttavia la consapevolezza di accorgimenti tipici delle indagini sceintifiche può evitare errori grossolani e metterci sulla strada giusta. Quanti di noi meno avvezzi al mondo elettronico sanno che accendere o spegnere il pc oggetto del'illecito altera completamente la scena criminis? La compute Forensics è la risposta concreta da una corretta trattazione delle prove digitali. I casi trattat, dal punto giuridico ma anche dal punto di vista tencnico ovvero la cristallizzazione e custodia della prova in Interneti sono: riservatezza, data protection, diritto all’oblio, sanità elettronica, luoghi di lavoro, giornalismo on line, cloud computing, diritto d’accesso, diritto al nome, pubblicità ingannevole, trading on line, buzz marketing, astroturfing, autore violato, spettatore violato, diffamazione, cyberstalking, accesso abusivo a sistema informatico, phishing, pharming, escrow truffa, intercettazioni, tradimenti on line.

     

    Per Ecommerce Giappichelli seguire il link

  • indagini su computer

    Indagini e investigazioni informatiche su sever, computer e notebook

    le indagini su un computer permetto di documentare abusi, comportamenti illegali, illeciti o contrari ai regolamenti aziendali attraverso mail, documenti, immagini, la cronologia della navigazione internet e i contenuti, messaggi, chat, e ogni altra forma di prova che può essere rinvenuta, anche se cancellata.

    Queste indagini per avere valore probatorio, devono essere condotte   avvalendosi di tecniche e tecnologie dell'Informatica Forense tipiche delle indagini scientifiche.

    I dispositivi che normalmente sono oggetto di indagine su computer :

    - computer desktop
    - computer potatili/notebook
    - server
    - ambienti di virtualizzazione
    - macchine virtuali

    L'indagine informatica sul computer può risultare fondamentale nei casi di:

    - dipendente/socio infedele
    - furto, danneggiamento, accesso abusivo al sistema informatico
    - furto e alterazione dati sistema informatico
    - contenzioso con banche, enti di riscossione
    - contenzioso per bandi gara
    - contenzioso con ex coniuge

    Oltre a molti altri contesti ove possa esse usato come testimone dei fatti.

    Un computer  a seconda dei contesti può essere stato  vittima come  testimone d'illeciti e reati,  è per questo la Perizia Informatica forense risulta fondamentale per la tutela dei propri diritti e della propria persona.

    L'analisi tecnica eseguita è in grado di rilevare molteplici aspetti dell'uso di un dispositivo informatico a titolo meramente esemplificativo è possibile:

    - recuperare i dati cancellati
    - ricostruire glie eventi
    - ricostruire l'uso/abuso del dispositivo
    - ricostruire e recuperare chat, mail, cronologia della navigazione internet,


    La Perizia informatica forense redatta dal consulente tecnico di parte fornisce al giudice un rappresentazione veritiera dei fatti tecnici derivanti dalle indagini e analisi tecniche condotte a condizione che sia svolta da un professionista, un consulente informatico forense accreditato e di consolidata esperienza che operi secondo gli standard e le best practice della digital forensics e della pratica forense italiana.

    La Perizia informatica non può prescindere dall'esecuzione di una copia forense o acquisizione forense del dispositivo, che sarà allegata alla perizia informatica prodotta dal consulente informatico forense
    A seconda del contesto può essere necessario produrre una Perizia Asseverata o una Perizia Giurata

    contattci      preventivio
  • Informatica Forense o Computer Forensics

    Informatica Forense o Computer Forensics

    L'informatica forense meglio conosciuta come Computer Forensicsè la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico per essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l'esame metodologico dei sistemi informatici. Si tratta di una disciplina di recente formazione, che spesso viene erroneamente identificata come una nuova "branca" della computer security. In realtà oggi, con l'aumento dei crimini informatici, e, specialmente, con una ripresa di coscienza da parte delle aziende che hanno finalmente cominciato a denunciare i crimini di cui sono vittime, si rende necessaria una applicazione integrale di questa disciplina, che sembra tuttavia non scevra di evoluzioni."

    Il concetto di informatica forense si estende dai computer, comunemente conosciuti,  a tutti quegli ambiti e dispositivi elettronici programmabili come cellulari, fotocamere, smartphone etc...

    La consulenza di un esperto in  Computer Forensic oggi è fondamentale per Avvocati e aziende che vogliano tutelarsi contro reati condotti con strumenti digitali, informatici.

  • Legittimo licenziamento a seguito di accertamenti commissionati dal datore di lavoro

    La sentenza della Cassazione civile , sez. lavoro, sentenza 08.06.2011 n° 12489 conferma orientamento in tema di rapporto tra il licenziamento del lavoratore subordinato ed il ricorso alle agenzie investigative da parte del datore di lavoro.

    In particolare il ricorso a un agenzia investigativa è giustificato non solo per l'avvenuta perpetrazione di illeciti e l'esigenza di verificarne il contenuto, ma anche in ragione del solo sospetto o della mera ipotesi che illeciti o reati siano in corso di esecuzione (cfr. Cass. n. 3590 del 14 febbraio 2011; Cass. n. 18821 del 9 luglio 2008; Cass. n. 9167 del 7 giugno 2003 ed altre conformi).

    l'art. 2 della legge 300 del 1970 (Statuto dei Lavoratori) parla di Guardie Giurate e non di Agenzie di Invesigazione; l'interpretazione estensiva della norma, sulla base del pronunciamento della Cassazione Civile ci permette di dire che l'azienda ha diritto e titolo a procedere ad accertamenti tecnici nei confronti del dipendente quando non abbia per oggetto l’inadempimento dell’obbligazione lavorativa, bensì le condotte poste in essere dal lavoratore, di carattere,civile, fiscale  o penale, che in ogni modo esulano dal contenuto della prestazione di lavoro.

    L'azienda può ricorre a Guardie Giurate, agenzie investigative ma anche a Esperti di Computer Forensics per verificare e accertare illeciti o reati avvenuti ad opera dei suoi dipendenti.

     

  • Licenziamento legittimo quando gli strumenti aziendali sono usati per scopi estranei a quelli dell'ente

    La Corte di cassazione con la sentenza n. 10836/2017 ha confermato il licenziamento per giusta causa del dipendente dell'Inps che svolge in favore di una società un'attività di consulenza incompatibile con il suo ruolo e "usando il fax aziendale per scopi estranei a quelli dell'ente".

    Il valore di questa sentenza è nell'interpretazione estensiva all'utilizzo di tutti gli strumenti aziendali, come del resto la sentenza lascia comprendere, l'utilizzo di strumenti aziendali, che si tratti di fax, mail, stampanti, o computer al per scopi estranei a quelli dell'ente o dell'azienda è motivo licenziamento per giusta causa. Il fatto che si utilizzino risorse aziendali per scopi non legati all'attività aziendale arreca un danno economico e un ingiusto profitto ad altri.

    Quando questo concetto lo applichiamo al contesto delle risorse informatiche che l'azienda mette a disposizione delle sue maestranze, assume una connotazione importante, sopratutto in un paese come il nostro, in cui il cellulare aziendale piuttosto che il notebook, sono percepiti e vissuti più come benefit invece che come strumenti di lavoro forniti per svolgere mansioni specifiche; in questo senso la sentenza di cassazione va ca confermare l'orientamento già presente nel Jobs Act. Certamente per poter individuare tali tipi di abuso è necessario un piano di audit IT che da un lato rispetti le libertà personali di dipendenti e collaboratori, ma che allo stesso tempo permetta di tutelare l'azienda contro usi impropri e abusi delle risorse aziendali.

    Piano e attività di Audit che in ambito information technology, data la volatilità e fragilità delle prove informatiche, è doveroso siano condotte secondo i principi della digital forensics per poter disporre di elementi oggettivi, scientifici e opponibili a terzi.

  • Modello 231 Amministratori di sistema e crimini informatici

    Il prossimo 11 e 12 febbraio si terrà a Firenze un seminario intensivo sull tema del modello 231 e gli aspetti riguardanti gli amministratori di sistema e i crimini informatici.

    Chi fosse interessato trova la locandinae il modulo di iscrizione online al sito www.consultingco.it

  • Nuove regole per la computer forensic

    Dopo 7 anni, si sono proprio sette anni, l'italia lo scorso 27 febbraio ratifica e da esecuzione alla Convenzione del Consiglio d' Europa sulla criminalita' informatica, fatta a Budapest il 23 novembre 2001. http://www.ictlex.net/wp-content/pdl2807.pdf



    Ci sono voluti tutti questi anni per allineare il diritto italiano alle nuove problematiche presentate dall'era dell'Information Technology. Infatti viene aggiornato il codice penale e parte del decreto legislativo 231/2001.

    Cosa si introduce di nuovo: la firma elettronica, si amplia l'ambito di applicazione delle norme sui reati informatici e si parla finalmente di computer forensics



    le modifiche più importanti in termini di computer forensics si riguardano il CPP Titolo III Capitolo III art. 244, 254, 259e 260

    Con le modifiche introdotte l'ordinamento giuridico ricnonosce il valore di prova contenuto nei sistemi informatici e ne definisce le modalità di custodia e il sequestro.

    Un passo avanti veramente importante per la computer forensics, una normazione significativa di un vuoto legislativo dove per dati si acquisisca il concetto informatico per cui una sequena di bit su in disco è un dato, una sequenza di bit su un cellulare è un dato, una sequenza di bit sulla rete o su una centrale telefonica è un dato



    E' importante notare come si affronti il tema dell'acquisizione dei dati, si parla di acquisizione mediante copia su adeguato supporto con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità: magari questo articolo non è quello che il forenser si aspettava ma tuto si risolve e si chiarisce nell'art. 260.

    Qui si parla anche di "dati, informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti mediante procedure che assicuri la conformità della copia all'originale e la sua immodificabilità"

    Finalmente abbiamo nero su bianco quello che il buon computer forenser fa da anni con tanto buonsenso e professionalità

    A questo punto a voi i commenti di una norma che sembra, perlomeno ad una prima rapida lettura, rispondere a un vuoto legislativo

  • Open space insecurity

    Ricordate gli uffici degli anni 80, quelli con i terminali grandi come un televisore, con i fosfori verdi e uffici di 5 o 6 persone, che quando ci si chiudeva dentro fuori non sentivano niente?

    Qualcuno dirà che erano altri tempi, qualcun'altro dirà anche che sono tempi passati ma personalmente credo che quell'era fosse una bella era. Certamente lavorare in ufficio allora significava fare un lavoro importante e delicato, l'etica lavorativa di quei tempi e forse anche quei fosfori verdi imponevano una certa soggezione e rispetto del lavoro e di tutto quello che trattava. Se un operatore aveva bisogno di una utenza e password per accedere ad una sezione del mainframe, non pensava certo di chiederla a gran voce ai colleghi. Con gli anni ì'90 e l'arrivo dei personal computer le cose sono cambiate molto nelle aziende. Sono spariti gli uffici classici a vantaggio di quelli sempre più aperti, gli open space e i computer sono diventati sempre più di uso familiari, il vecchio terminale non impone più il rispetto e il timore che imponeva una volta. con questo se n'è andata anche l'etica al lavoro e può capitare ad un consulente di ascoltare in un open space di programmatori e sistemisti diverse username e password per accedere ai sistemi... ma tanto l'azienda ha firewall, antivirus, ips, etc... che proteggono l'azienda.... si proteggono l'azienda dalla tecnologia non dalla stupidità. Questa è forse la sfida più difficile per chi si occupa di sicurezza informatica, far comprendere che i dati che i propri colleghi trattano sono preziosi, che le username e password non si urlano tanto meno in un openspace. forse tornare ai vecchi uffici di poche persone e ben chiusi potrebbe aiutare? forse ma non basta.

  • Perizia Computer

    Perizie su Computer,notebook, server e infrastrutture VmWare, xen, hyperv

    La Perizia informatica forense di un computer permette di cristallizzare e documentare mail, documenti, immagini, la cronologia della navigazione internet e i contenuti, messaggi, chat, e ogni altra forma di prova che può essere rinvenuta, anche se cancellata, questo  avvalendosi di tecniche e tecnologie dell'Informatica Forense tipiche delle indagini scientifiche ai fini probatori.

    perizia computer server workstation notebook I dispositivi che possono essere oggetto di Perizia informatica forense sono:

    - computer desktop
    - computer potatili/notebook
    - server
    - ambienti di virtualizzazione
    - macchine virtuali


    La perizia informatica di computer può risultare fondamentale nei casi di:

    - dipendente/socio infedele
    - furto, danneggiamento, accesso abusivo al sistema informatico
    - furto e alterazione dati sistema informatico
    - contenzioso con banche, enti di riscossione
    - contenzioso per bandi gara
    - contenzioso con ex coniuge


    Oltre a molti altri contesti ove possa esse usato come testimone dei fatti.

    Un computer  a seconda dei contesti può essere stato  vittima come  testimone d'illeciti e reati,  è per questo la Perizia Informatica forense risulta fondamentale per la tutela dei propri diritti e della propria persona.

    L'analisi tecnica eseguita è in grado di rilevare molteplici aspetti dell'uso di un dispositivo informatico a titolo meramente esemplificativo è possibile:

    - recuperare i dati cancellati
    - ricostruire glie eventi
    - ricostruire l'uso/abuso del dispositivo
    - ricostruire e recuperare chat, mail, cronologia della navigazione internet,


    La Perizia informatica forense redatta dal consulente tecnico di parte fornisce al giudice un rappresentazione veritiera dei fatti tecnici derivanti dalle indagini e analisi tecniche condotte a condizione che sia svolta da un professionista, un consulente informatico forense accreditato e di consolidata esperienza che operi secondo gli standard e le best practice della digital forensics e della pratica forense italiana.

    La Perizia informatica non può prescindere dall'esecuzione di una copia forense o acquisizione forense del dispositivo, che sarà allegata alla perizia informatica prodotta dal consulente informatico forense
    A seconda del contesto può essere necessario produrre una Perizia Asseverata o una Perizia Giurata

    contattci      preventivio
  • Phishing su TIM... cambia il target dei phisher

     

    Sembra che i target dei phiser non siano più tanto le banche quanto società come TIM, l'obiettivo è sempre il solito acquisire numeri di carta di credito e relativi cvv

     

    Tutto inizia questo pomeriggio, quando ho ricevuto questa email:

    capture16-02-2010-20.37.46

     

     

     Lo stupore è tanto visto che di phishing ne ho visto tanto ma usando TIM no.... per un momento ho quasi pensato che fosse vero....

     

    Ho quindi provato ad esplorare il sito linkato. La prima impressione è stada di grande stupore, il sito clone è fatto benissimo!!!

    peccato che quando si comincia a chiedere i dati dell'utente.... caschi l'asino. la grafica incomincia a scadere e si percepisce un forte pressappochismo in alcune informazioni superflue che ci vengono chieste

     

     

    capture16-02-2010-20.34.48

     

     

     

    A questo punto non ci rimane che vedere dove vogliono portarci. Attenzione i dati inseriti sono frutto di fantasia

    clickiamo su "Collegamento Banca" e vediamo dove andiamo a finire:

     

    capture16-02-2010-20.44.19

     

     Ecco dove volevano andare a parare.... raccolta dei dati della carta di credito!!! Ma notate le cose che non tornano :

    - le scritte pgo e nfm in verticale

    - il riferimento alla legge 675/1996 invece della 196/2003

    - un grafica scarna rispetto al sito iniziale

     

    la truffa è fatta!

     

    ATTENZIONE : Non cadede in questo tranello, diffidate da chi vi regala soldi su internet!!!

     

  • Press: Guerra ai dipendenti poco fedeli

    Guerra ai dipendenti poco fedeli

    Data pubblicazione: 31/03/2010

    Testata: "Il Sole 24 ore/CentroNord"

    Titolo:"Al contrattacco. Sale il ricorso delle Pmi ad esperti. I furti sono in gran parte di natura informatica"

    Link articolo

  • Press: Le informazioni in cassaforte

    Data pubblicazione: 24 Settembre 2007

    Testata: Il corriere di Firenze

    Titolo: Le informazioni in cassaforte

    Link Articolo

Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.