Blog | Area riservata

Come Procediamo

Nell'Analisi Forense

L’investigazione informatica e l’analisi forense permettono di risolvere numerosi casi anche interni all’azienda. Possono esserci situazioni di spionaggio industriale, sottrazione del know-how, assenteismo da parte dei dipendenti, uso di informazioni e strumenti aziendali in modo improprio. Prima di risolvere un problema interno all’azienda, bisogna analizzare e capire quali sono gli aspetti fondamentali dell’attività aziendale.

Ad esempio, se l’azienda progetta dei macchinari, i file contenenti i vari progetti ed i test eseguiti per la verifica dei macchinari hanno sicuramente un’importanza molto elevata. Invece in un’azienda che si occupa di gestire le spedizioni dei macchinari e quindi di logistica, i file relativi ai report indicanti le consegne ed i documenti con le informazioni dei vari clienti hanno una grande priorità.

Un altro aspetto fondamentale da analizzare prima di procedere con un’investigazione, è lo studio della struttura organizzativa aziendale. Attraverso l’osservazione dell’organigramma si possono valutare le persone che gestiscono i vari compiti interni all’azienda, andando ad identificare potenziali responsabili del crimine informatico.

Dispositivi informatici da analizzare

Dopo aver fatto un report sui dati dell’attività, è possibile avviare un’investigazione. Sulla base di una prima analisi, si definiscono quali sono le periferiche ed i dispositivi che potrebbero contenere le informazioni che stiamo cercando. Invece di analizzare ogni singola periferica, si preferisce focalizzare l’attenzione sulle periferiche che potrebbero contenere con maggior probabilità delle informazioni utili alla nostra investigazione. In azienda ci possono essere numerosi dispositivi da analizzare, di seguito viene mostrato un elenco delle periferiche più comuni.

Dispositivi
Computer fissi
in uso all’azienda, da analizzare se:
  • si cercano dati informatici salvati dall’utente sul PC
  • i documenti persi o sottratti sono stati creati, aperti e modificati sul PC
  • la posta elettronica è configurata con un software come Outlook, salvata sul computer
  • il PC non viene usato solo come client, ma anche come server
  • ci sono sospetti che un dipendente usi il PC per fini non autorizzati
  • il problema è stato causato da hacker, virus, malware, ecc
Computer portatili
in uso all’azienda, da analizzare se:
  • no sospetti relativi ai casi precedenti
  • il dipendente ha usato il notebook collegandosi ad altre reti non aziendali
Smartphone aziendali
da analizzare se:
  • hanno accesso alla rete aziendale
  • hanno la possibilità di accedere ai dati aziendali
  • è stato effettuato un accesso non autorizzato
CD, DVD, pen drive USB
  • se i dati erano conservati in questi dispositivi di memoria.
Fotocamere digitali
  • se si teme che alcune foto possano contenere informazioni importanti per l’azienda.
Server aziendali
fisici e virtualizzati, se:
  • alcuni dati possono essere salvati su risorse condivise sul server
  • si utilizza un sistema di condivisione aziendale
  • i documenti sono stati creati, modificati ed aperti da sessioni remote
  • la posta elettronica è adoperata tramite una sessione remota via web
  • si utilizza un server di posta elettronica
  • la posta elettronica è configurata tramite software come Outlook
  • si temono problemi legati ad accessi non autorizzato
Aree in cloudse:
  • la posta elettronica è utilizzata via cloud
  • i documenti sono salvati sul cloud
  • l’ambiente di lavora è strutturato tramite cloud

Oltre ai dispositivi elencati, bisogna considerare altri terminali che possono essere controllati solo tramite un apposito consenso scritto, ad esempio i dispositivi personali dei dipendenti che non appartengono all’azienda. Inoltre non è possibile accedere alle caselle di posta personali senza il consenso dei dipendenti o dell’autorità competente.

INDAGINI PRIVATI, FINANZIARE,
AZIENDALI, FALLIMENTARI

Analisi di un caso reale

Per capire nel dettaglio come viene eseguita un’investigazione informatica, di seguito è illustrato un caso reale che spiega nei dettagli quali sono stati i passaggi eseguiti durante l’intero lavoro. In particolare, quest’analisi è inerente ad un caso di spionaggio industriale.

Nella prima fase furono raccolte il maggior numero di informazioni riguardanti l’azienda ed i dipendenti. Si cercò di scoprire quali fossero le problematiche ed i danni causati all’attività, attraverso una serie di domande che servivano a definire in maniera completa e precisa le dinamiche dell’evento.

Alcuni disegni in cad erano finiti nelle mani di un’azienda concorrente. Questa notizia era stata confermata da un cliente che aveva riferito dei dettagli riguardanti un macchinario che era ancora in fase progettuale, e non era stato ancora commercializzato. Il cliente diceva che questi dettagli erano stati riferiti da un’azienda concorrente. Si sospettava che era stato coinvolto un dipendente interno dell’azienda, ovvero la persona che supervisionava personalmente il progetto. L’azienda che aveva richiesto l’investigazione non si fidava di nessun dipendente, quindi il titolare non escludeva altri complici.

Il progetto cad che era stato trafugato poteva avere un valore inestimabile, perché prometteva di rivoluzionare il mercato a favore dell’azienda. Se altre aziende rivali si fossero impossessate del progetto, avrebbero potuto sottrarre clienti ed un’importante fetta del mercato. I dati erano memorizzati nel server aziendale e si pensava che fossero stati trasmessi tramite chiavette USB oppure per invio email.

Dopo aver fatto un’analisi basilare della situazione fu analizzata la struttura interna dell’azienda, acquisendo informazioni sui dipendenti e sulla gerarchia aziendale, sulle varie mansioni e sul clima di lavoro. Successivamente raccogliemmo informazioni sulla rete informatica aziendale, per capire in che formato fossero i dati trafugati e come erano stati esportati.

Lavorando insieme all’amministratore del sistema informatico (sysadmin), cercammo il progetto cad rubato, controllando nelle mail aziendali e personali, analizzando anche le pen drive USB dell’ufficio. Inoltre fu necessario studiare come lavoravano i vari impiegati, quindi la tipologia di PC e sistemi operativi usati (Windows, Linux, MAC), software di email (web, Outlook, exchange), tipo di connessione (wireless, cavo, VPN), cloud.

In base all’analisi scoprimmo che i dipendenti lavoravano su servizi terminal ed adoperavano Word, Excel ed email aziendale, che era su exchange. Inoltre la persona che disegnava il file cad del progetto lavorava in locale e successivamente i documenti erano salvati in una cartella condivisa con il server principale. La connessione era di tipo ADSL e la rete non era accessibile all’esterno. Inoltre l’azienda non disponeva di pen drive USB aziendali, quindi quelle presenti sul luogo erano personali dei singoli utilizzatori.

Infine:

    Furono analizzati:
  • PC fisso del sospettato, composto da 1 hard disk da 120GB con Windows 7. Furono ricercati artefatti dell’uso del documento che si era diffuso in modo illecito, verificando email locali, artefatti di dispositivi USB. Tali operazioni erano ristrette in un determinato intervallo temporale in cui il sospettato risultava in ufficio
  • PC fisso di altri due possibili sospettati,
    composti da 1 hard disk da 120GB e Windows 7
  • Server terminal/exchange/archivio dati, composto da 3 hard disk in RAID5 SCSI da 146GB con Windows Server 2003, verificando le condivisioni e gli utenti che avevano avuto accesso al documento in questione, le email, gli artefatti nell’ambiente terminal, artefatti della spedizione tramite piattaforma web
    Per poter estrarre le informazioni furono fatte le immagini dei 3 dischi dei PC fissi (3x120GB) e del server (3x146GB). Di seguito sono indicati i risultati dell’investigazione:
  • Nell’account email del sospettato furono trovate due email spedite ad un amico, che risultò coinvolto in modo accidentale nell’accaduto, che contenevano un paio di file cad con i disegni e le indicazioni segnalate dal cliente
  • Non furono trovati artefatti di alcun tipo dai PC fissi
  • Al termine dell’indagine fu eseguito un richiamo formale nei confronti del dipendente, che aveva avuto poca prudenza durante la lavorazione del file cad. Il disegno trafugato era solo una bozza incompleta con diversi errori che lo rendevano non funzionante. Il rischio dell’azienda era fortunatamente davvero minimo.

Per richiedere il nostro servizio di investigazione forense

Compila il modulo, verrai subito ricontattato dal nostro Servizio Clienti in modo gratuito e senza impegno. Altrimenti chiamaci al Numero Verde 800.211.637, le nostre operatrici e i nostri operatori sono sempre al tuo servizio.

Ho letto e accetto l'informativa sulla privacy
La tua richiesta è stata inviata correttamente!
iRecovery Data Power
iRecovery Academy
Seguici su