indagini digitali - Forenser Srl

Recupero di messaggi WhatsApp eliminati tramite Msgstore Increment

forenser on 31 Marzo 2025

Recentemente, durante l’analisi di uno smartphone Android, è stato necessario recuperare dei messaggi cancellati appartenenti ad una chat eliminata dall’applicazione di WhatsApp. Fino a poco tempo fa anche effettuando un’analisi tramite software professionali quali Cellebrite UFED, Oxygen Forensic Detective e Magnet Axiom, non era possibile recuperare tale chat poiché eliminata prima del suo inserimento all’interno del classico backup periodico locale del database “msgstore.db” e quindi non visibile con le metodologie standard di recupero dati.

Di recente la funzionalità di recupero delle chat non presenti nei backup periodici è stata aggiunta ai software di mobile forensics, ma riteniamo utile illustrare in dettaglio come era possibile anche prima dell’aggiunta – e lo è tuttora – procedere manualmente con l’ispezione dei file relativi all’applicazione di WhatsApp e recuperare chat cancellate.

Nello specifico, illustreremo come recuperare una porzione della chat – non presenti nel DB o nei backup tradizionali – grazie all’analisi di un altro file di backup, incrementale e non completo: il “msgstore-increment.db“.

Cos’è il msgstore-increment.db e a cosa serve?

L’applicazione di WhatsApp, quando installata su dispositivi Android, effettua dei backup periodici del database principale “msgstore.db”, contenente tutte le informazioni correlate all’account di WhatsApp, inclusi i messaggi.

Purtroppo, la creazione dei backup e la loro gestione, in alcuni casi, può risultare difficoltosa da parte dell’applicazione soprattutto in situazione in cui i dati gestiti risultano essere centinaia di MB se non GB. Per questo motivo, per minimizzare la perdita dei dati e ottimizzare la gestione della memoria sul dispositivo, WhatsApp esegue dei backup incrementali, tra ogni backup completo, dentro i quali vengono salvati solo i cambiamenti avvenuti nell’applicazione: ad esempio, se il giorno successivo al backup completo vengono inviati cento messaggi, essi vengono inclusi all’interno del backup incrementale eseguito per quel giorno.

Questo significa che, se in seguito alla creazione del backup completo vengono inviati cento messaggi e poi cancellati, essi possono essere recuperati dal backup incrementale, ammesso che non siano stati eliminati prima della sua creazione.

A oggi, software professionali come Cellebrite UFED o Oxygen Forensics supportano il parsing del backup incrementale msgstore-increment, ma fino a pochi mesi fa era una funzionalità probabilmente ancora in lavorazione, dato che è comparsa di recente. Di conseguenza, per tentare il recupero dei messaggi eliminati, in passato, è stato necessario comprendere le logiche alla base di questo tipo di dato e creare uno script in grado di automatizzare l’estrazione di eventuali messaggi cancellati, ma ancora presenti nell’increment, mentre oggi chi ha a disposizione software professionali può eseguire il recupero direttamente tramite le funzionalità interne.

Come funziona e come si estraggono i dati dall’archivio msgstore-increment.db?

Il primo passo è stato quello di approfondire il funzionamento del backup incrementale, avendo prima replicato uno scenario in cui questa funzionalità ha generato degli increment. Tramite l’analisi dei dati generati dall’applicazione WhatsApp, sono stati individuati e analizzati diversi file denominati “msgstore-increment.db.crypt14”, ovvero archivi compressi e cifrati. Tali archivi sono stati decifrati attraverso l’utilizzo dello strumento “wa-crypt-tools” (https://github.com/ElDavoo/wa-crypt-tools) e, successivamente, decompressi, ottenendo file strutturati in formato JSON e un file binario denominato “messages.bin”.

Contenuto dell’archivio msgstore-increment.db.crypt14, backup incrementale

Tra i file in JSON ne è presente uno chiamato “header.json” dentro il quale sono contenute informazioni utili, relative agli altri file presenti nella cartella, compreso “messages.bin”. Inoltre, dall’analisi effettuata sul file binario, è stato possibile determinare il formato utilizzato per la codifica dei dati, ovvero il protocollo protobuf.

Protobuf è un formato di serializzazione dati sviluppato da Google e viene spesso utilizzato nella trasmissione delle informazioni tra applicazioni o per la memorizzazione di dati in un formato binario poiché risulta essere più leggero e performante rispetto a JSON o XML.

Il funzionamento è relativamente semplice, è necessario definire la struttura dei dati tramite la creazione di un file “.proto” e utilizzare un compilatore per la creazione di uno script in grado di codificare i dati basandosi, appunto, sul protocollo definito. Di seguito un esempio di definizione del protocollo:

Esempio di definizione per protobuf

In questo caso, uno script basato su tale definizione sarà in grado di creare un file binario contenente i dati “nome” ed “eta” riportati nel file protobuf.

Nell’applicazione di WhatsApp avviene la stessa cosa: il file binario “messages.bin” viene creato da una porzione di codice contenuta nell’applicazione ed è basato su un file “proto” dentro la quale è definita la struttura dei messaggi e delle conversazioni.

Inoltre, il file binario “messages.bin” viene strutturato con una o più porzioni del dato binario codificato con protobuf, tali porzioni vengono definiti anche segmenti o “length-delimited” (https://protobuf.dev/programming-guides/encoding/#length-types). Pertanto, per leggere il contenuto del file è prima necessario separare i vari segmenti e successivamente procedere con la lettura.

Rappresentazione dei segmenti contenuti nel file messages.bin

Per la separazione di ogni singolo segmento presente nel file “messages.bin” abbiamo creato uno script in python, che mettiamo a disposizione sulla nostra repository GitHub (https://github.com/Forenser-lab/wa-increment-decoder/blob/main/splitter.py), in grado di leggere il file “messages.bin” e creare diversi file binari ognuno contenente il dato (segmento) protobuf da leggere.

Successivamente, per la lettura di ogni singolo file, abbiamo utilizzato il tool “protobuf inspector” (https://github.com/mildsunrise/protobuf-inspector), uno script in grado di leggere un file binario codificato con protobuf:

Output del tool protobuf_inspector

Nonostante sia stato possibile estrapolare i vari messaggi contenuti nei segmenti, essi sono risultati un’aggregazione di dati “anonimi”. Sebbene alcuni dei dati ottenuti dall’estrazione della chat contengano campi con un significato intuitivo, come il testo del messaggio o il timestamp, altri sono risultati ignoti rendendo di conseguenza difficoltoso stabilirne il significato reale. Questo accade poiché noi non siamo in possesso della definizione del protocollo “proto” utilizzato da Meta e in grado di leggere correttamente i dati contenuti nel file binario.

Ciononostante, in rete, sono presenti diversi progetti di reverse engineering aventi oggetto la definizione del protocollo impiegato su WhatsApp, incluso quello del repository GitHub Wa-Proto (https://github.com/wppconnect-team/wa-proto) effettuato sulla versione web del software. Successivamente, provando ad adattare la loro definizione per il nostro scopo, siamo riusciti a decodificare correttamente l’intero contenuto del file binario “messages.bin” ottenendo tutti i dati in chiaro con il loro relativo significato.

A questo punto, è stato semplice creare uno script in grado di generare un file CSV contenente tutti i messaggi presenti nel file binario, indicando il caso in cui un messaggio risultasse essere stato eliminato. Si noti che sono stati effettuati alcuni test che hanno considerato anche i media (immagini, video, etc.) e in alcuni casi nella cartella decifrata e decompressa relativa all’increment è presente il folder “messages.bin” contenente miniature di immagini eliminate (successivi aggiornamenti saranno orientati a verificare in che misura è possibile recupera media o tracce di essi).

Proof of Concept di decifratura e analisi del msgstore-increment.db

Innanzitutto, è stato riprodotto lo scenario: abbiamo inizializzato una nuova chat, utilizzandola per qualche giorno per poi infine eliminarla, evitando che fosse memorizzata nel backup “msgstore.db”. Grazie a questa riproduzione, sebbene i messaggi della chat non siano stati inclusi nel backup settimanale, sono comunque stati inseriti nel backup incrementale giornaliero.

Nell’immagine seguente viene riportata un’illustrazione dello scenario riprodotto. Nello specifico è possibile vedere come il backup principale venga creato alle ore 02:00 AM del 10/01, successivamente alle ore 01:35 PM dello stesso giorno viene creata una conversazione con ID 123 che sarà inclusa nel backup incrementale alle ore 02:00 AM del 11/01. Infine, alle ore 04:00 PM del giorno 11/01 la chat con ID 123, viene eliminata (ma risulta ancora presente nel backup incrementale creato precedentemente):

Timeline dello scenario di riferimento

Successivamente, sono stati estratti i backup incrementali dal dispositivo Android, solitamente contenuti nella directory “/data/media/0/Android/media/com.whatsapp/WhatsApp/Databases/” e opportunamente decriptati tramite l’apposita chiave di cifratura, ottenendo così i seguenti file:

msgstore-increment-1-2025-01-16.1.db;
msgstore-increment-2-2025-01-16.1.db;
msgstore-increment-3-2025-01-16.1.db;
msgstore-increment-4-2025-01-16.1.db.

I vari backup sono stati inseriti tutti all’interno della stessa cartella e in seguito è stato eseguito lo script da noi creato per il recupero dei messaggi, il quale ha generato un file CSV contenente la lista di tutti i messaggi estratti:

Generazione del file CSV contenente i messaggi recuperati

Conclusioni

Grazie ad un approfondimento sulla gestione dei backup nell’applicazione di WhatsApp per dispositivi Android, siamo riusciti a comprendere come essi vengono strutturati tramite il concetto di backup incrementali. L’analisi ci ha portato alla creazione di un piccolo tool, scritto in python, in grado di estrarre in modo strutturato i messaggi dal backup incrementale “msgstore-increment.db” in modo efficiente, con dettagli di rilievo come il timestamp e senza bisogno di utilizzare altri strumenti.

La funzionalità dei backup incrementali permette il recupero di messaggi eliminati tra la creazione di un backup integrale, locale, “msgstore.db.crypt14” e un altro, quindi non recuperabili tramte le tradizionali tecniche di analisi forense e undelete dal DB sqlite o dai backup.

Per chi volesse sperimentare o provare l’estrazione di questi messaggi, lasciamo qui di seguito il link dello script scaricabile dalla nostra repository GitHub (https://github.com/Forenser-lab/wa-increment-decoder).

FTK Imager: novità dell’aggiornamento in download gratuito

forenser on 28 Ottobre 2024

È recente la pubblicazione della nuova versione del tool della società Exterro “FTK Imager”, il “coltellino svizzero” dell’informatica forense che ogni consulente informatico forense ha nel proprio repertorio e utilizza quasi quotidianamente per fare copie forensi, aprire e lavorare su immagini forensi, acquisire la RAM dei PC, estrarre file di sistema, virtualizzare o fare analisi forensi su SSD, HD e supporti di memoria.

Il download della nuova versione è disponibile al link del sito di Exterro https://www.exterro.com/ftk-product-downloads/ftk-imager-4-7-3-61 e introduce funzionalità attese e interessanti. Ricordiamo che il download di FTK Imager e gratuito e può essere effettuato allo stesso link presente nella sezione “Product Downloads”:

Le novità dell’aggiornamento

Il changelog fornito dalla società è piuttosto scarno ed indica come unica novità il miglioramento nel processo di “mounting” delle immagini di Windows 11. Il resto dei cambiamenti interni riguarderebbe la risoluzione di bug:

Installando e avviando lo strumento si possono apprezzare novità molto più interessanti; infatti, è ora possibile montare e navigare immagini forensi di drive che sono crittografati con BitLocker e si possono, con questo aggiornamento, creare ed esportare copie forensi di dischi cifrati in formato non cifrato.

Tale mancanza, in questi anni, è stata sopperita dall’utilizzo di strumenti esterni, come Arsenal Image Mounter, strumento in grado di montare immagini forensi di dischi cifrati con BitLocker, riconoscere la presenza di “clear key”, generare immagini decifrate, etc.

Riconoscimento, mounting e acquisizione di volumi crittografati

Vediamo ora come si concretizzano le novità più importanti, avviando direttamente lo strumento.

Adesso, selezionando “Add evidence Item” o “Create disk Image” e indicando un volume fisico cifrato con BitLocker, abbiamo accesso ad una nuova schermata, che propone l’inserimento della chiave a 48 bit o della password (nel caso di drive esterni):

creazione-immagine-forense-disco-cifrato

Cliccando poi su “OK” si ha accesso al volume fisico come se fosse decifrato.

Come accennato, attraverso questa nuova funzionalità è possibile produrre copia forense del disco crittografato, direttamente in forma decifrata. In questo caso lo strumento avvisa l’utente del fatto che il valore di hash della copia forense del drive in forma decifrata differirà dal valore di hash che si otterrebbe acquisendolo nella sua forma crittografata:

Premendo su “Cancel” anziché su “OK” si procederebbe con l’acquisizione forense del disco nella sua forma cifrata:

creazione-immagine-forense-disco-cifrato-cancel

creazione-immagine-forense-disco-cifrato-sì

In questo caso sarà comunque possibile montare, sempre con FTK Imager, la copia così ottenuta e creare a posteriori la relativa immagine decifrata. Un’ulteriore possibilità sarà montare il drive decifrato sia fisicamente che logicamente, per mezzo dell’opzione “Image Mounting…”:

La versione “portable” standalone

FTK Imager viene distribuito come versione installabile, ma può agevolemente essere convertito in versione portabile o standalone avviando l’installer e copiando su di una pendrive la cartella dove il programma viene installato.

Le librerie DLL necessarie per la sua esecuzione saranno contenute all’interno della cartella “C:\Program Files\AccessData” e sono sufficienti per far girare il tool FTK Imager in modalità portable anche su altri PC senza installarlo, ma avviandolo direttamente da una pendrive o da una risorsa di rete. A questo punto, si otterrà una versione FTK Imager Portable, da utilizzare sul campo, così da evitare di sporcare il sistema con una nuova installazione.

Conclusioni

La nuova funzionalità di mounting di drive e immagini forensi di dischi cifrati con BitLocker nonché la possibilità di creare immagini di drive in formato già decifrato, accontenta i molti utenti che quotidianamente utilizzano FTK Imager per le attività di acquisizione e analisi forense ed altre attività a supporto della perizia informatica. In passato, queste lacune potevano essere colmate mediante l’ausilio di altri strumenti gratuiti, ed ora anche FTK Imager può vantare nel suo già ricco armamentario queste funzionalità, senz’altro molto utili per qualunque Digital Forensics Expert.

Disponibile per il download Tsurugi Linux 2024.1 live distro gratuita e open source per informatica forense

forenser on 11 Agosto 2024

Il 30 luglio 2024 è stata rilasciata la nuova versione della live distro di informatica forense “Tsurugi” nella versione lab 2024.1, disponibile per il download gratuito sia come immagine di 16.7 GB, sia come macchina virtuale da 33.7 GB. Questo strumento, essenziale per i professionisti dell’informatica forense, è tra i più utilizzati nel campo del digital forensics, insieme alla celebre distribuzione Caine Linux.

Tsurugi Linux è una distribuzione Linux open source progettata per l’informatica forense, la risposta agli incidenti e l’analisi di malware, che offre una soluzione potente e versatile tramite tool e strumenti software di altissima qualità. Questa distro è specificamente ideata per supportare le indagini digitali, mettendo a disposizione una vasta gamma di strumenti preinstallati che rispondono alle diverse esigenze dei consulenti forensi, come l’acquisizione dei dati, le attività di copia forense, l’analisi della memoria e l’analisi del traffico di rete. Una delle sue caratteristiche principali è la possibilità di funzionare in modalità live, permettendo agli investigatori di operare senza modificare lo stato del sistema esaminato, garantendo così l’integrità delle prove raccolte.

La live distro opens source Tsurugi Linux è altamente configurabile, con moduli specifici per diverse esigenze forensi, come l’analisi di sistemi Windows, dispositivi mobili o indagini su malware, attività frequenti durante la realizzazione di perizie informatiche. Si distingue anche nell’analisi della rete e della memoria, offrendo strumenti avanzati per l’acquisizione forense e l’analisi di traffico di rete e memoria volatile, elementi cruciali nelle indagini forensi moderne.

Essendo un software open source, Tsurugi rappresenta una scelta eccellente per gli investigatori digitali, grazie alla sua struttura modulare che permette di creare un ambiente di analisi mirato e ottimizzato per ogni tipo di indagine digitale.

Con una solida community, una documentazione dettagliata e la compatibilità con numerosi altri strumenti forensi, Tsurugi Linux è una risorsa imprescindibile per i professionisti del settore che necessitano di una piattaforma affidabile e sicura per le loro indagini.

La distro Tsurugi può essere scaricata gratuitamente dalla pagina ufficiale dei download del sito Tsurugi-Linux. Il software è offerto senza alcuna garanzia, secondo i termini della licenza General Public License (GNU).

È importante verificare sempre i valori hash delle ISO o della VM scaricata dal sito Tsurugi, utilizzando la firma digitale prodotta dagli sviluppatori e distribuita sul sito. Per comodità, riportiamo i valori hash SHA512 delle due release di Tsurugi Linux Lab 2024.1:

tsurugi_linux_2024.1.iso: 885aa818a6b61803b74ffd885a66d676e6ae6279cafe9ff53cc9ba15aabebb844c4428a2b6480061a82dc466edb2728811e0a03252aaf0aa5e8b158690a1c678

tsurugi_linux_2024.1_vm.ova: 30d88f3a683862642ee8f1c13f43044f13e62471b65ed7e63ed459485ad5259f42c242a5df0ff179f6a80750f4055c33ad5f310277ed8d38b4e9da8d0db85a13

La nuova versione di Tsurugi Linux, rispetto a quella rilasciata il 22 dicembre 2023, include le seguenti novità, elencate nel changelog ufficiale:

Kernel 6.9.3 personalizzato;
Aggiornamento completo del sistema;
Aggiornamenti firmware;
Correzione di bug minori;
Miglioramento di Volatility;
Aggiunta di nuovi strumenti e tool al menù;
Menù aggiornati.

La dimensione di quasi 17 GB rende questa distribuzione meno adatta per operazioni sul campo, come ad esempio l’esecuzione di copia forense di hard disk, pendrive, SSD oppure acquisizione RAM, triage e anteprima, a causa della difficoltà di caricarla in RAM (es. con il comando da kernel “toram”) e delle risorse necessarie per l’esecuzione.

Rimane però ideale per un’installazione locale o per sfruttare la vasta gamma di strumenti offerti dagli sviluppatori. Attendiamo con interesse il rilascio della versione Tsurugi Acquire, pensata invece per eseguire copie forensi di supporti digitali con maggiore leggerezza e massima compatibilità con i vari sistemi su cui può essere avviata.

Nuovi Orizzonti per le Indagini Digitali Forensi: Sfide e Soluzioni

forenser on 6 Marzo 2024

Giovedì 07 marzo 24 si terrà a Milano, presso l’Hotel Doria, dalle ore 8:30 alle ore 18:30, la conferenza “Nuovi Orizzonti per le Indagini Digitali Forensi: Sfide e Soluzioni” organizzato da MSAB, in collaborazione con NUIX, T3K ed il comune rivenditore E-Trace.

Il programma dell’evento che si terrà Milano, sulle indagini forensi e i nuovi orizzonti della digital forensics, sarà il seguente:

8:30 Registrazione ospiti
9:30 E-Trace Introduzione
9:45 Ghennadii Konev e Giovanni Castoldi “10 cose che non sai di XRY” MSAB
10:30 Prof. Mattia Epifani “Tracce di utilizzo di applicazioni in ambienti Android e iOS”
11:15 Coffee Break
11:30 Dario Beniamini NUIX NEO Investigations – The Investigation Ecosystem NUIX
12:15 Prof. Paolo Dal Checco “Acquisizione forense di risorse online e dati in cloud”
13:00 Pranzo
14:15 Lgt. Pier Luca Toselli “Le perquisizioni informatiche oggi, tra nuove difficoltà e copia mezzo. Quali soluzioni?”
15:00 Ghennadii Konev “Ingegneria inversa con JADX e Frida” MSAB
15:45 Coffee Break
16:00 Felix Klier Presentazione T3K
16:45 Dario Beniamini NUIX-T3K demo session NUIX-T3K
17:30 Q&A and Demo
18:30 Fine dei lavori

Gli argomenti dei talk sono diversi e tutti di altissimo interesse informatico forense, spaziando dalla copia forense – con approfondimenti su copia di mezzo e copia di fine – alle acquisizioni di siti web, cloud e risorse online alle tracce lasciate dalle applicazioni in ambienti iOS e Android, dalle tecniche di ingegneria inversa tramite JADX e Frida alla presentazione di software d’informatica forense come T3K, XRY e NUIX.

Attualmente, le acquisizioni forensi e le indagini digitali che coinvolgono i dispositivi mobili, presentano numerose sfide. Gli scenari coinvolti rappresentano ostacoli dettati da sistemi legati principalmente a crittografia e codifica delle applicazioni e durante la giornata saranno presentate le soluzioni offerte dai prodotti MSAB, con testimonianza diretta di persone che utilizzano le tecnologie dell’azienda durante le indagini di tutti i giorni, oltre che novità illustrate direttamente dal team di XRY.

Saranno inoltre trattati temi che riguardano l’attuale sfondo italiano relativo alla fase di perquisizione, confrontando la legislatura di ieri con le ultime novità e proposte di legge, valutando le opzioni di copia forense di mezzo e copia forense di fine come alternativa alla tradizionale copia forense integrale e monolitica, analizzando come queste potrebbero influenzare le future attività investigative operate sia dalle forze dell’ordine che dalle aziende che offrono consulenze come ausiliarie di PG e per privati.

Alla conferenza sulle indagini digitali forensi, che si terrà a Milano in presenza, parteciperanno e interverranno i seguenti relatori:

I responsabili di E-Trace, rivenditore MSAB esclusivo per il territorio italiano.
Pier Luca Toselli, Luogotenente Carica Speciale in forza al Comando Provinciale della Guardia di Finanza di Bologna, massimo esperto di Digital Forensics e relativa regolamentazione legislativa, con l’intervento: “Le perquisizioni informatiche oggi, tra nuove difficoltà e copia mezzo. Quali soluzioni?”
Paolo Dal Checco, Consulente informatico forense, massimo esperto in attività di Digitale Mobile Forensics, Web Forensics, analisi di Osint, malware e criptovalute, docente a contratto universitario, autore e divulgatore, con l’intervento: “Acquisizione forense di risorse online e dati in cloud”
Mattia Epifani, CEO di Reality Net, Consulente informatico forense, massimo esperto in attività di Digitale Mobile Forensics, docente certificato SANS, docente universitario, autore e divulgatore con l’intervento: “Tracce di utilizzo di applicazioni in ambienti Android e iOS”
Kai Jessen, NUIX Head of Government Europe.
Dario Beniamini, Esperto in proprietà intellettuale e tutela dei marchi, DFIR, NUIX Senior Consultant.
Michael Uray, T3K Chief Commercial Officer.
Ghennadii Konev, MSAB North Mediterranean Product Specialist.
Giovanni Maria Castoldi, MSAB North Mediterranean Area Sales Manager.

L’evento è gratuito ma per partecipare è necessario registrarsi presso il sito MSAB all’indirizzo https://www.msab.com/resources/events-webinars/msab-milano-2024.

Intervista per IusLaw Web Radio su GDPRDay e Man in The Mail

forenser on 16 Ottobre 2023

JusLaw Web Radio per il GDPRDay con Paolo Dal Checco sull'informatica forense

Venerdì 13 ottobre 2023 è andata in onda l’intervista realizzata per IusLaw Web Radio, durante la quale Elia Barbujani – insieme agli speakers di GDPR Day – hanno parlato di protezione dati e frodi via email che possono costare caro all’azienda che non investa in cybersecurity, trattando diversi punti di vista, da quello del DPO, all’informatico forense e avvocato.

IusLaw Web Radio e Informatica Forense per il GDPRDay

Durante l’intervista radio per IusLaw sono intervenuti, insieme a Elia Barbujani:

🎤 Monica Gobbato, avvocato, Presidente Privacy Academy, Organizzatrice Chapter Legal Hackers Genova

🎤 Paolo Dal Checco, Consulente Informatico Forense in ambito di Perizia Informatica e Indagini Digitali per processi Penali, Civili o in ambito stragiudiziale

🎤 Costanza Matteuzzi, avvocato, esperta di privacy, reati informatici e cybersecurity.

L’intervento per IusLaw Web Radio è disponibile sia come video intervista organizzata tramite evento su Linkedin sia come podcast ascoltabile direttamente online sul sito WebRadiuIusLaw, durante l’intervista vengono trattati temi che spaziano dalla protezione del brand all’informatica forense, in particolare nell’ambito delle truffe bancarie di tipo Man in The Mail (MITM) note anche come Business Email Compromise (BEC) che causano la perdita d’ingenti fondi tramite bonifico disposto verso IBAN bancari fraudolentemente inviati tramite la modifica di fatture in PDF e l’intercettazione e/o alterazione di messaggi di posta elettronica.

La truffa dei bonifici fraudolenti disposti a seguito di modifica dell’IBAN nei messaggi di posta elettronica è ancora oggi una delle più diffuse e maggiormente impattanti nei confronti delle aziende vittime dell’attacco che spesso non riescono a recuperare i fondi e richiedono perizie informatiche forensi per poter accertare le responsabilità delle parti.

L’intervista anticipa la conferenza che si terrà giovedì 19 ottobre al GDPR Day a Bologna: la nuova edizione della conferenza nazionale su GDPR e Cyber Security con la collaborazione di IusLaw WebRadio come Main Media partner dell’evento.

Conferenza MSAB su mobile forensics e indagini digitali a Roma

forenser on 6 Ottobre 2023

Si è tenuta ieri la conferenza organizzata da MSAB, in collaborazione con MBS Engineering, dal titolo “Sulle Tracce Digitali: Processi Estrattivi ed Analisi per un’Indagine Efficace”.

Durante il corso della giornata gli ospiti hanno potuto assistere a presentazioni di importanti esperti del settore Digital Forensics, esponenti di pubbliche autorità europee ed operatori italiani delle relative realtà aziendali coinvolte. Gli ospiti hanno trattato di problematiche relative alle indagini digitali, perizie informatiche, intercettazioni, captatori informatici e malware, OSINT, riconoscimento delle immagini a fini di Giustizia e alla mobile forensics.

Il socio di Studio Paolo Dal Checco ha presentato un talk sulla digital forensics, concentrandosi sulle nuove sfide in ambito di perizia informatica (es. cloud, whatsapp forensics, cifratura, integrità dei messaggi whatsapp acquisiti in maniera forense, big data, messaggi vocali che richiedono trascrizione e indicizzazione, etc…) proponendo alcune soluzioni anche open source.

Paolo Dal Checco alla conferenza su informatica forense organizzata da MSAB a Roma

La conferenza sulle tracce digitali e indagini forensi organizzata da MSAB a Roma il 5 ottobre 2023 ha visto la partecipazione di:

Antonio Broi – Vision, Brigadiere in forza al Comando Provinciale della Guardia di Finanza di Bologna, massimo esperto di Digital Forensics, Python Scripting ed Image Recognition (“Mobile Forensics: codice open source e codice closed source: due facce della stessa medaglia.”)
Marco Zonaro, Massimo esperto di Digital e Mobile Forensics, perito forense per P.G. e A.G., autore e divulgatore (“Intercettazione di comunicazioni cifrate. Tra evoluzione tecnologica e sistemi di captazione un gap tecnologico ancora incolmabile.”)
Paolo Dal Checco, Consulente informatico forense, massimo esperto in attività di Digitale Mobile Forensics, analisi di Osint, malware e criptovalute, docente universitario, autore e divulgatore (“Digital Forensics: nuove sfide e possibili soluzioni.”)
Mauro Manolo Belmonte, Amministratore Delegato di MBS Engineering, consulente tecnico di diverse Procure della Repubblica, esperto di Digital Forensics (“L’Intelligenza Artificiale al servizio delle investigazioni: approfondimenti di strumenti di analisi delle Chat attraverso l’ausilio di CIT Chat Detective”)
Anna-Maija Graus, MSAB Strategic Sales Manager (”MSAB Frontline Solutions free your expert resources.”)
Ghennadii Konev, MSAB North Mediterranean Product Specialist (“ XRY Pro: Android exploits, great value at an exceptional price.”)
Gustav Björk, MSAB Software Developer (“Reverse engineering with JADX and Frida.”)
Giovanni Maria Castoldi, MSAB North Mediterranean Area Sales Manager. (“Tutto ciò che non sapete di XRY Office Logical & Physical”)
I responsabili di E-Trace, rivenditore esclusivo MSAB per il territorio italiano.

Convegno ONIF Amelia 2022

forenser on 11 Novembre 2022

Venerdì 11 novembre 2022 si è tenuto l’evento “Il futuro dell’informatica forense torna ad Amelia”, organizzato dall’Osservatorio Nazionale per l’Informatica Forense (ONIF) e giunto ormai alla sua sesta edizione.

Il convegno sul futuro dell’informatica forense si è svolto nella consueta e suggestiva cornice del Chiostro Boccarini (fu realizzato in forme rinascimentali nel XVI secolo) con due aree contemporanee, la prima nella Sala Boccarini e la seconda nella Sala Palladini, con entrata unica da Piazza Vera, ad Amelia (TR).

La giornata ha visto interventi su argomenti legati all’informatica forense e informatica giuridica da parte di operatori delle Forze dell’Ordine oltre a personalità istituzionali, giuristi e consulenti tecnici dell’Associazione ONIF.

Il programma della giornata è stato il seguente:

Prof. Ing. Paolo Reale: Saluti Istituzionali

Dott. Pier Luca Toselli – Luogotenente c.s.: Sinergie, criticità e futuro, tra polizia giudiziaria, ausiliari di p.g., c.t.u e c.t.p; nelle indagini digitali.

Ing. Marco Calamari: Una pistola fumante nel processo civile telematico

Dott. Fabio Zito: Android reverse-engineering (find a trojan information in a closed source apps)

Dott. Luca Cadonici: Differenze e possibilità nell’acquisizione di dispositivi ios: il modello di sicurezza apple e le sue implicazioni forensi.

Prof. Ing. Ugo Lopez: Enterprise cloud forensics, security & compliance

Dott. Giorgio Sonego – B.U. manager per il cybercrime e digital forensic: Introduzione agli sponsor

Dott. Paolo Rossi – Account Director Government – Southern Europe: Nuix: una finestra su tutte le evidenze

Bradley Taylor – Sales Manager – Global Key Account Management: Maltego and transforming your investigations with the power of OSINT

Luigi Portaluri – Director – South Europe in Grayshift: Ottieni le tue prove in minuti. non ore, mesi o anni!

Tanya Pankova – Product Marketing Director at Oxygen Forensics: Overcoming device security with oxygen forensic detective

Avv. Paolo Pirani: La “digital forensics” nel processo

Avv. Guido Villa – Tecoms Srl: Mercure: l’evoluzione nell’analisi dei tabulati telefonici

Prof. Avv. Francesco Paolo Micozzi: Sequestro, perquisizione, restituzione dei dati e impugnazioni: recenti approdi giurisprudenzial

Davide Gabrini (Rebus) – Ispettore PS: La ripetibilità dell’accertamento informatico forense

Dott. Nanni Bassetti: Giustizia predittiva ed il problema del bias nell’AI

Dott. Valerio De Gioia – Giudice Penale: Il Giudice robot

Prof.ssa Avv. Stefania Stefanelli: Il nuovo corso di laurea “law and technology” dell’università degli studi di perugia

Seminario su Reati Criptovalutari

forenser on 31 Marzo 2021

Giovedì 1 aprile 2021 si terrà, su piattaforma GoToMeeting, la conferenza organizzata dalla Commissione Scientifica dell’Ordine degli Avvocati di Torino come evento formativo in sessione telematica.

Durante il seminario verrà fornito un inquadramento sulla legislazione italiana in tema di criptovalute, si analizzeranno le fattispecie di reato realizzabili mediante l’utilizzo di criptovalute, dal punto di vista tecnico e giuridico, con un approfondimento sul ruolo
dell’avvocato difensore e delle facoltà difensive di quest’ultimo.

I coordinatori dell’evento sono l’Avv. Stefano Caniglia – Componente Commissione Scientifica COA Torino – e l’Avv. Emanuele Zanalda – Componente Commissione Scientifica COA Torino.

Gli interventi programmati per il seminario sulle Criptovalute – organizzato dall’Ordine degli Avvocati di Torino – sono i seguenti:

“La criptovaluta nella legislazione italiana ed i profili delle segnalazioni antiriciclaggio a carico del professionista” – Notaio Avv. Remo MORONE, Notaio in Torino
“Il riciclaggio e altre figure di reato commessi mediante criptovalute – profili sostanziali e processuali” – Cons. Dott. Cesare Parodi, Procuratore Aggiunto – Procura della Repubblica di Torino
“Gli aspetti tecnici dell’indagine penale sulle criptovalute” – Dott. Paolo Dal Checco, Consulente Informatico Forense
“L’attività difensiva nei reati commessi mediante criptovalute” – Avv. Alessandro Viglione, Avvocato in Milano

L’intervento tenuto dal Dott. Dal Checco – in qualità di esperto d’informatica forense – tratterà degli aspetti tecnici delle indagini digitali sulle criptomonete: dall’acquisizione forense delle prove digitali, all’analisi delle transazioni e degli indirizzi, alle possibilità di deanonimizzazione e attribuzione delle attività ai protocolli a oggi utilizzati in casi reali per il sequestro e la confisca di bitcoin, ethereum e criptomonete.

La locandina in PDF dell’evento sulle criptomonete è scaricabile dal link seguente.

Conferenza su Reati Criptovalutari (Locandina)Download