Informatica forense: Come trovare tutti i dati su un PC.

Nei casi eclatanti di omicidio, durante i processi giudiziari più intricati, quelli riguardanti reati come truffa, corruzione oppure anche nei casi di divorzio, di fedeltà matrimoniale e cose cosi, una delle cose che viene controllata per primi sono i computer di vittime e sospettati. Ma ovviamente il poliziotto non si mette a scartabellare un pc cercando a mano se c'è qualcosa di strano, utilizza alcuni programmi che permettono di analizzare automaticamente tutti i dati memorizzati nel computer, compresi quelli che sono stati cancellati.
Questa attività di ricerca individuazione e studio dei file in un computer è l'informatica forense che cerca le prove da usare nei processi giudiziari.


In ogni caso, nel piccolo del quotidiano, senza scomodare la scientifica di CSI, si può facilmente controllare un computer e trovare tutti i dati in esso contenuti, creando un indice o database ordinato e facilmente consultabile dei file, delle email, della cronologia internet, delle fotografie, compresi i dati nascosti nei meandri della memoria di un pc e quelli cancellati.

1) Il primo programma di informatica forense da segnalare è Digital Investigation Framework un software open source che si può installare su Windows e su Linux.
Digital Forensics Framework (DFF) è un programma gratuito scritto in Pyton che si può scaricare gratis facendo il download del programma con Pyton compreso nello stesso file. (Su Windows il file di installazione completo è dff-with-dependencies-1.1.0.exe).

Al termine dell'installazione si può lanciare la GUI dal menu Start ed utilizzare il programma.
L'interfaccia grafica non è troppo intuitiva ed è in inglese quindi qualcuno potrebbe trovare difficoltà a capirne l'utilizzo.
Per una guida d'uso conviene scorrere il manuale che è corredato da immagini e permette di capire meglio come scoprire i dati di un computer in modo da sapere tutto sulla sua storia d'uso.

2) Un programma molto più semplice da utilizzare, ugualmente potente è OS Forensics di cui esiste, per ora, una versione gratuita.
Dopo averlo scaricato e installato, si può aprire l'interfaccia che mostra una serie di strumenti per penetrare dentro il computer e trovare ogni tipologia di dato e informazione memorizzato nel pc.
La versione gratuita ha qualche limite nella ricerca dei file e nella decodifica.
La differenza tra OS Forensics e DFF è che questa volta l'interfaccia principale è molto più intuitiva e diventa facile creare un indice di tutti i file sul disco per ricercare le informazioni sospette e tipologie diverse di dati.
E 'possibile fare una ricerca approfondita per tipi specifici di dati, come email, file zip, documenti Office, pagine web, o specificare tipi di file personalizzati durante la fase di configurazione avanzata.
Le opzioni avanzate permettono di specificare le estensioni dei file che si desidera includere nella scansione.
OS Forensics non trova solo i file esistenti sul disco ma anche le tracce dei file cancellati su settori non allocati dell'hard disk.
L'indicizzazione dei dati potrebbe richiedere del tempo a seconda delle dimensioni della cartella selezionata e le prestazioni del computer.
Una volta creato l'indice è possibile utilizzare la ricerca per trovare file specifici che sono stati indicizzati in precedenza.
Grazie ad un tool portatile da copiare su penna USB si può fare la copia esatta dell'hard disk di un computer che poi si può analizzare con OS Forensics su un altro computer.
Tra i tool più interessanti ci sono:
- La ricerca all'interno dei file di testo e delle e-mail
- La copia forense per copiare i file da una cartella ad un'altra mantenendone le proprietà intatte e quindi le date di creazione modifica ecc.
- Visualizzatore disco Raw per vedere i dati grezzi di tutti i dischi.
- Visualizzazione dei dettagli di memoria di tutti i processi.
- Ricerca dei file cancellati.
- Ricerca di file con contenuti che non corrispondono al tipo di file, ad esempio quindi gli archivi nascosti o le estensioni false (facile nascondere una foto cambiando l'estensione no?).
- Ricerca password usate su internet e decrittografia automatica dei file protetti.

3) Un altro programma di informatica forense assolutamente open source è Linux Caine (Computer Aided Investigative Environment) una distribuzione Linux Live da usare avviando un computer da cd che contiene tanti strumenti per investigare a fondo in un computer e scoprirne il suo uso.

4) Dagli stessi autori di Cain, si può scaricare un programma per Windows è WinTaylor, una raccolta di tool per trovare dati e file nel pc.

Mi auguro con questo post di non istigare nessun ometto e nessuna femminuccia a dare una controllatina al PC del proprio compagno/a... Già gli SMS hanno fatto sin troppi danni. :-)