Analisi Forense – iRecovery ti spiega – Come si Interviene e cosa si Analizza

Il contesto

Prima di tutto è necessario capire quale è la problematica per la quale si è stati convocati. Può essere ad esempio un caso di spionaggio industriale, oppure sospetti di assenteismo da parte di alcuni dipendenti, oppure ancora sospetto di utilizzo prolungato degli strumenti informatici aziendali per fini personali, o altro ancora. Ogni problematica presenta peculiari interrogativi per capire come muoversi nel contesto.

 

analifi forense

 

Secondo, è importante capire alcuni aspetti della realtà aziendale nella quale ci si viene a trovare. Cosa produce, quali sono i beni informatici – intesi come dati – più importanti: nella fattispecie, per una azienda che produce macchinari saranno più importanti i progetti, mentre per una azienda di logistica saranno più importanti i report delle consegne effettuate. Vi sono poi dati importanti per chiunque, ad esempio le anagrafiche clienti e fornitori nonché i documenti amministrativi, ma di norma se qualcosa qui “scappa” la faccenda è meno tragica.
Poi è fondamentale l’organizzazione aziendale: quanti dipendenti vi sono, quante sedi o filiali, la gerarchia e l’organigramma. Questo per capire che ruolo hanno le persone sospettate, se si può coinvolgere qualcuno nell’indagine come collaboratore oltre alla direzione (ad esempio il responsabile informatico), ecc.
Tutto ciò può sembrare superfluo ma è fondamentale per potersi muovere con dimestichezza all’interno del nuovo ambiente nel quale si è chiamati a indagare, ottimizzare i tempi di esecuzione, risultare meno invasivi possibile e migliorare complessivamente il risultato – e quindi la soddisfazione del cliente.

 

Cancellazione Sicura iRecovery

 

Strumenti informatici

Non sempre è necessario analizzare ogni periferica informatica. E’ invece necessario prendere di mira l’hardware che può potenzialmente contenere le informazioni che stiamo cercando, sulla base di una precedente analisi del contesto. Vediamo quindi caso per caso su che apparecchiature è necessario indagare nei differenti casi.

  • Computer fissi in uso all’azienda (ivi inclusi i pc portatili utilizzati come postazioni fisse per necessità): vanno analizzati in caso:

    • si ricerchino dati informatici che l’utente può aver salvato sul computer stesso

    • se i documenti sono stati scritti, modificati o aperti con il computer

    • se la posta elettronica viene utilizzata in locale

    • se la posta elettronica è configurata su un programma e-mail come outlook

    • se l’utilizzo del pc non è limitato alla sola emulazione di terminale (client servizi terminal)

    • se si sospetta che un dipendente faccia uso del pc per fini non aziendali non autorizzati

    • se si teme che la problematica sia stata causata da accesso non autorizzato (hacker, virus, trojan, ecc)

  • Computer portatili in uso all’azienda (ivi inclusi tablet pc e affini): vanno analizzati in caso:

    • Tutti i casi precedenti relativi ai computer fissi

    • Se si ritiene che il dipendente ne abbia fatto uso per travasare dati non aziendali collegandosi ad altra rete

  • Smartphone aziendali

    • se lo smartphone ha potenziale accesso alla rete aziendale

    • se viene regolarmente utilizzato per accedere a dati aziendali

    • se si teme che la problematica sia stata causata da accesso non autorizzato (hacker, virus, trojan, ecc)

  • CDROM-DVDROM di archiviazione dati:

    • Se i dati erano archiviati in tali dispositivi e in nessun altro luogo (per effettuare confronti)

  • Pendrive USB:

    • Se i dati erano archiviati in tali dispositivi e in nessun altro luogo (per effettuare confronti)

  • Fotocamere digitali

    • Se si teme siano state effettuate fotografie per trafugare dati o per creare la problematica (per effettuare confronti, ricavare dati di utilizzo, ecc)

  • Server aziendali (sia fisici che virtualizzati in hardware installati in locale):

    • si ricerchino dati informatici che l’utente può aver salvato su risorse condivise sul server

    • se si utilizza un sistema di condivisione dell’ambiente di lavoro, quale ad esempio il sistema terminal server;

    • se i documenti sono stati scritti, modificati o aperti da sessioni remote

    • se la posta elettronica viene utilizzata via web in una sessione remota

    • se si utilizza un server di posta locale (es. exchange, m-daemon, ecc)

    • se la posta elettronica è configurata su un programma e-mail come outlook in un ambiente terminal

    • se si teme che la problematica sia stata causata da accesso non autorizzato (hacker, virus, trojan, ecc)

Va evidenziato, per tutto ciò che concerne i server, la necessità di identificare esattamente l’hardware in uso, il sistema operativo, la configurazione, la presenza di ambienti virtualizzati, ecc.

  • Aree in cloud: vanno prese in esame qualora:

    • La posta elettronica sia ritenuta di interesse e sia in cloud

    • I documenti siano ritenuti di interesse e siano in cloud

    • L’intero ambiente di lavoro sia in cloud

E’ necessario tuttavia per analizzare un ambiente di questo tipo un accesso di tipo amministrativo o, in subordine, la collaborazione del gestore di tali spazi virtuali.

Cancellazione Sicura iRecovery

Va ricordato che vi sono dispositivi sui quali non è possibile, se non previa autorizzazione scritta, fare alcun esame, nella fattispecie tutti i dispositivi di proprietà personale delle persone e non aziendali. Allo stesso tempo, non è lecito forzare caselle email o altri spazi di memorizzazione personali senza esplicita autorizzazione scritta del proprietario o dell’autorità competente.