Hai appena scoperto che un server è stato compromesso. Il tuo primo impulso è di accendere il computer, guardare i log, magari fare una scansione antivirus. Se lo fai, stai distruggendo le prove. In un incidente informatico, ogni azione può alterare lo stato del sistema. La differenza tra prove valide e prove inutilizzabili sta in due cose: acquisizione forense corretta e catena di custodia. Noi, di Meteora Web, lavoriamo quotidianamente con aziende che subiscono attacchi. Abbiamo visto clienti perdere cause perché un tecnico ha installato un tool su un disco che andava clonato, o perché nessuno ha firmato un verbale. Questa guida è per chi deve raccogliere evidenze digitali senza bruciarle.
Catena di Custodia: Il Passaporto delle Prove
La catena di custodia è la documentazione che dimostra che una prova è stata maneggiata solo da persone autorizzate, in modo integro, dal momento del sequestro fino all’eventuale deposizione in tribunale. Senza catena di custodia, un giudice può rigettare l’evidenza perché non è possibile escludere manomissioni.
Esempio concreto: Un cliente – un’azienda di e-commerce – ha subito un furto di dati. Il loro sistemista ha fatto una copia del database con mysqldump, poi ha eseguito una scansione con ClamAV sul server in produzione. Risultato: le date dei file modificate, i log di sistema sporcati, e nessun documento che provasse chi, quando e come ha fatto cosa. L’avvocato ha detto: “senza catena di custodia, queste prove non le usiamo nemmeno”. Hanno perso la causa civile.
Cosa fare subito: Definisci un modello di modulo per la catena di custodia. Deve includere:
- Data e ora (con fuso orario)
- Identificativo univoco del supporto (es.
DISK-001) - Descrizione del dispositivo sequestrato
- Nominativo e firma di chi ha acquisito
- Nominativo e firma di chi ha ricevuto
- Hash SHA-256 dell’acquisizione
- Ogni passaggio di consegna (data, firma, motivo)
Principi di Acquisizione Forense
L’acquisizione forense non è “fare un backup”. È una copia bit-a-bit (bitstream) del supporto originale, utilizzando un write blocker hardware o software per impedire qualsiasi modifica. Si parte dal principio che il supporto originale non deve mai essere montato in lettura/scrittura.
Bitstream vs Copia Logica
Una copia logica (es. cp o rsync) copia solo i file visibili dal filesystem, perdendo slack space, cancellati, metadata di basso livello. La copia bitstream (dd o dc3dd) cattura ogni singolo byte, compresi spazi vuoti e file cancellati. Solo la copia bitstream è accettata in sede legale.
Write Blocker: Perché è Obbligatorio
Se colleghi il disco sospetto a un sistema operativo normale, il kernel può scrivere dati (es. atime, log di mount). Un write blocker (device come Tableau o Wiebetech) blocca fisicamente i comandi di scrittura. In ambienti virtuali o cloud, si usano write blocker software (es. safecopy o snapshot readonly).
Esempio pratico: Un server Linux compromesso. Invece di spegnerlo, abbiamo usato un live CD forense (Kali Linux in modalità forense) e collegato un disco esterno tramite write blocker hardware. Abbiamo eseguito dc3dd per clonare il disco di sistema su un file .E01 (formato EnCase).
Strumenti per l’Acquisizione
Ecco gli strumenti che usiamo quotidianamente:
- dd / dc3dd – nativo Unix, dc3dd aggiunge hashing progressivo e logging.
- Guymager – interfaccia grafica per Linux forense, supporta E01 e DD.
- FTK Imager – su Windows, crea immagini forensi e cattura RAM.
- Magnet RAM Capture – per la memoria volatile (fondamentale!).
Passo-Passo: Acquisizione Disco con dd (Linux Forense)
Supponiamo di avere un disco sospetto collegato come /dev/sdb. Il sistema live è una distribuzione forense (Kali, CAINE).
# 1. Identificare i dischi (attenzione: non sbagliare il target!)
sudo fdisk -l
# 2. Calcolare hash del disco originale prima di toccarlo
sudo sha256sum /dev/sdb > /acquisizioni/original_hash.txt
# 3. Acquisire con dd, mostrando progresso (no write)
sudo dd if=/dev/sdb of=/acquisizioni/disk_image.dd bs=4M conv=noerror,sync status=progress
# 4. Hash dell’immagine appena creata
sha256sum /acquisizioni/disk_image.dd
# 5. Verifica: confronta hash (devono essere identici)
cat /acquisizioni/original_hash.txt
Nota: conv=noerror,sync continua anche in caso di errori di lettura (riempiendo con zero). Non usare mai conv=notrunc se non sei sicuro.
Per un formato forense con compressione e metadata, usa dc3dd:
sudo dc3dd if=/dev/sdb of=/acquisizioni/disk_image.dc3 hash=sha256 log=/acquisizioni/log.txt
Questo produce un log con hash per ogni blocco e un hash finale, rendendo la verifica immediata.
Memoria Volatile (RAM): Cattura Prima di Spegnere
La RAM contiene processi in esecuzione, connessioni di rete, chiavi crittografia, dati di malware in esecuzione. Se spegni il computer, perdi tutto. La cattura della RAM va fatta prima di ogni altra operazione sul sistema acceso.
Strumenti: Magnet RAM Capture su Windows, LiME (Linux Memory Extractor) su Linux, FTK Imager può catturare RAM su Windows.
Esempio con LiME su Linux
# Scarica e compila LiME sul sistema target (con cautela)
# Meglio usare un modulo pre-compilato per il kernel.
sudo insmod lime.ko "path=/acquisizioni/memory.dump format=lime"
Poi analizzi la memoria con Volatility o Rekall.
Errore comune: dimenticare di catturare la RAM prima di eseguire qualsiasi altro comando. Ogni comando eseguito modifica la memoria. Meglio avere un flusso predefinito: RAM → stato rete → disco.
Documentazione della Catena di Custodia
Ogni azione va registrata in un verbale. Noi usiamo un modulo digitale firmato con firma elettronica, ma anche carta e penna funziona se le prove non sono digitali. Elementi obbligatori:
- Data e ora di inizio operazione
- Descrizione del sistema (hostname, IP, MAC)
- Supporto originale: modello, serial number, capacità
- Hash SHA-256 del supporto originale (prima della copia)
- Hash dell’immagine creata
- Nome e qualifica di chi esegue
- Firme passaggio di consegna
Esempio di riga nel log:
2026-03-15 14:32 UTC | DISK-001 | Seagate ST1000DM003 S/N: Z9A1B2C3 |
Hash originale: a1b2c3d4... | Immagine: disk001.dd | Hash immagine: e5f6g7h8... |
Operatore: Mario Rossi (Meteora Web) | Ricevuto da: Avv. BianchiErrori Comuni che Invalidano l’Evidence
- Montare il disco originale in lettura/scrittura: anche un singolo accesso altera l’atime e può creare file di log di sistema.
- Usare strumenti proprietari senza documentazione: se non puoi spiegare cosa fa il tool, il giudice può dubitare.
- Non calcolare hash prima e dopo: senza hash, non puoi provare che l’immagine sia identica all’originale.
- Ignorare la memoria volatile: molte prove risiedono solo in RAM.
- Non fermarsi quando si sbaglia: se accidentalmente modifichi qualcosa, documentalo onestamente. Un errore documentato è meglio di una falsa perfezione.
In Sintesi — Cosa Fare Subito
- Prepara un kit forense: live CD forense, write blocker, cavi, hard disk vergini (già formattati e azzerati), moduli cartacei per catena di custodia.
- Definisci un protocollo: prima RAM, poi rete, poi disco. Non deviate.
- Esegui una simulazione: su un sistema di test, fai un’acquisizione completa e documentala. Scoprirai lacune.
- Forma il personale IT: una dimenticanza può costare una causa persa. Investi in mezza giornata di formazione pratica.
- Conserva le immagini forensi in ambiente sicuro: cifrate con GPG, custodite in luogo protetto con accesso controllato.
Noi, di Meteora Web, abbiamo integrato queste procedure nei piani di incident response per molti clienti. La forensics non è solo per grandi aziende: anche una PMI può subire un attacco e dover dimostrare danni. Se vuoi approfondire, leggi la nostra guida sul Phishing Avanzato – spesso le prove iniziano da una mail ingannevole. La catena di custodia inizia dal primo click.
Sponsored Protocol
