{"id":79,"date":"2016-06-19T23:42:07","date_gmt":"2016-06-19T21:42:07","guid":{"rendered":"http:\/\/www.forlex.it\/blog\/?p=79"},"modified":"2016-06-19T23:42:07","modified_gmt":"2016-06-19T21:42:07","slug":"recupero-dati-e-file-system","status":"publish","type":"post","link":"http:\/\/www.forlex.it\/index.php\/2016\/06\/19\/recupero-dati-e-file-system\/","title":{"rendered":"Recupero dati e file system"},"content":{"rendered":"
Di fronte all’enorme vastit\u00e0 dell’informatica e di fronte alla continua evoluzione del mondo del software,\u00a0 \u00e8 davvero superficiale e illusorio credere di poter recuperare ogni sorta di dato da qualsiasi tipo di supporto.<\/div>\n
Questo lo sanno benissimo quasi tutti i tecnici e gli investigatori del settore, ma \u00e8 una realt\u00e0 che a volte viene sottovalutata certamente dai non addetti ai lavori.
\nNel settore del computer forensic sono relativamente nuovo, anzi direi di non avere esperienza se non per qualche base teorica e di studio personale, ma all’inizio della mia esperienza nel mondo dei compatibili IBM ricordo di esser passato da windows a linux nel giro di poco tempo installando una vecchia distribuzione e scoprendo l’esistenza del filesystem ext2 e della swap.
\nSuccessivamente, alle prime ricompilazioni del kernel, scoprivo l’esistenza di ulteriori filesystem e quindi sistemi operativi capaci di organizzare i dati secondo dei criteri diversi, lontani dalla usuale concezione a cui windows ci abitua. La conoscenza di altri sistemi operativi diversi da windows, inoltre, offre la possibilit\u00e0 di usare un pc per “fare altro”.
\nOgni diversa organizzazione di dati su un supporto quindi non \u00e8 detto che sia “comprensibile” da un altro sistema operativo, basti pensare che windows in condizioni di default (ma questo si capisce bene, per una scelta commerciale precisa) non riesce a leggere e scrivere partizioni ext3 di linux nonostante l’ormai enorme diffusione di questo sistema operativo.
\nDi fronte ad un supporto di archiviazione da dover analizzare, quindi, stabilire il filesystem pu\u00f2 non essere immediato senza avere sufficienti strumenti.
\nTuttavia, nella maggior parte dei casi gli investigatori si trovano davanti filesystem FAT\/NTFS\/ISO9660 con i dati che stanno cercando catalogati ordinatamente ed inoltre, usando software capaci di riconoscere e recuperare un buon numero di file, risparmiano una buona parte di lavoro non necessitando di una conoscenza tecnica approfondita.
\nOltre tutto spesso l’indagato non prende rigide precauzioni riguardo l’occultamento dei dati sul supporto, talvolta a vantaggio di una pi\u00f9 veloce e pratica modalit\u00e0 di accesso ai dati stessi, talvolta per non perdersi dietro a procedimenti di cifratura considerati noiosi, talvolta convinto di non correre alcun rischio, talvolta convinto di non compiere addirittura alcuna attivit\u00e0 illecita.
\nQuesto vale ovviamente per quanto concerne i casi per cos\u00ec dire pi\u00f9 “semplici” e diffusi, riferiti a pedopornografia, pirateria informatica varia di basso profilo, casi in cui l’indagato magari non si preoccupa di\u00a0 adottare sofisticate tecniche di occultamento dei file.
\nTutto diventa pi\u00f9 difficile quando i reati sono pi\u00f9 seri sotto il profilo tecnico, quando chi li compie possiede una conoscenza tecnica qualche gradino superiore e, mettendo in conto la possibilit\u00e0 di essere
\nscoperto, prende qualche precauzione considerevole riguardo l’archiviazione sicura dei dati.
\nIl riconoscimento di dati coerenti su un supporto ed il relativo recupero, generalmente non incontra particolari intoppi a meno di non trovare ostacoli per quello che riguarda la cifratura. Allo stato attuale non risulta possibile recuperare ad esempio dati cifrati con crittografia PGP, allo stesso modo tanti sanno che non \u00e8 possibile recuperare dati cifrati con truecrypt. Gli strumenti di cifratura e la buona abitudine di proteggere certi dati non sono tuttavia consuetudini tanto diffuse da parte dell’utenza media, non tutti gli utenti adottano tecniche fuori dal comune sufficienti a proteggere i propri dati, tanti utenti non adottano alcuna tecnica affatto.<\/div>\n","protected":false},"excerpt":{"rendered":"

Di fronte all’enorme vastit\u00e0 dell’informatica e di fronte alla continua evoluzione del mondo del software,\u00a0 \u00e8 davvero superficiale e illusorio credere di poter recuperare ogni sorta di dato da qualsiasi tipo di supporto. Questo lo sanno benissimo quasi tutti i …<\/p>\n

Recupero dati e file system<\/span> Read More »<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[],"_links":{"self":[{"href":"http:\/\/www.forlex.it\/index.php\/wp-json\/wp\/v2\/posts\/79"}],"collection":[{"href":"http:\/\/www.forlex.it\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.forlex.it\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.forlex.it\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.forlex.it\/index.php\/wp-json\/wp\/v2\/comments?post=79"}],"version-history":[{"count":1,"href":"http:\/\/www.forlex.it\/index.php\/wp-json\/wp\/v2\/posts\/79\/revisions"}],"predecessor-version":[{"id":80,"href":"http:\/\/www.forlex.it\/index.php\/wp-json\/wp\/v2\/posts\/79\/revisions\/80"}],"wp:attachment":[{"href":"http:\/\/www.forlex.it\/index.php\/wp-json\/wp\/v2\/media?parent=79"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.forlex.it\/index.php\/wp-json\/wp\/v2\/categories?post=79"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.forlex.it\/index.php\/wp-json\/wp\/v2\/tags?post=79"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}