Forenser

Un programma intenso quello di giugno per i divulgativi organizzati da ONIF e interamente dedicati alla in tutte le sue declinazioni.

Durante i Digital Forensics Talks (DFT) by si esploreranno le frontiere della computer, mobile, cloud e , con professionisti del settore con i quali potrete interagire in diretta.

Le date di giugno dei sono le seguenti,

👉 11 Giugno 2026 - Ore 17:30, Andrea Lazzarotto, Strumenti per l'informatica forense (link per iscrizione: https://www.eventbrite.it/e/biglietti-strumenti-open-source-per-linformatica-forense-1990317618575);

👉 18 Giugno 2026 - Ore 18:00, Gaetano Consalvo, e forensics: impatti per le utility del settore idrico (link per iscrizione: https://www.eventbrite.it/e/biglietti-nis2-e-digital-forensics-impatti-per-le-utility-del-settore-idrico-1990332672602);

👉 25 Giugno 2026 - Ore 18:30, Nicola Chemello, e AI: tecniche e limiti per il miglioramento dell’intelligibilità vocale (link per iscrizione: https://www.eventbrite.it/e/biglietti-audio-forense-e-ai-metodi-e-limiti-per-migliorare-lintelligibilita-vocale-1990336349600).

Consigliamo di seguire la pagina dell'Osservatorio Nazionale d'Informatica Forense per non perdere i post dedicati ai prossimi talk e alle varie iniziative dell'Associazione.

Sembra un weekend tranquillo di fine maggio, il tempo passa senza problemi fino a quando non iniziano ad arrivare messaggi ambigui sull’applicazione di installata sul tuo . I contatti iniziano a chiederti: “Perché devo darti dei soldi?” oppure “A cosa ti serve il ?”.

Questi contatti stanno solo rispondendo a un messaggio inviato dal tuo account WhatsApp; il problema è che tu non hai inviato nulla.

Questo è ciò che è accaduto negli ultimi giorni a diverse persone che si sono rivolte al nostro studio .

L'aspetto più allarmante di questa minaccia è che la sezione “Dispositivi collegati” risulta completamente pulita, rendendo l'intrusione invisibile. Non si tratta di un classico furto di account, ma di un attacco 0-click: l'infezione avviene senza che la vittima debba compiere alcuna azione.

Cosa abbiamo scoperto durante le analisi forensi?

🚨Vettore d'attacco: La vulnerabilità risiede nel parsing delle immagini ( -2025-43300) nelle versioni di 16 precedenti alla 16.7.12.

👻 Account Fantasma: Abbiamo individuato un'anomala sequenza di eventi di “resync”, segno di una "competizione" tra il telefono legittimo e quello dell'attaccante per il controllo della sessione.

🔓 Accesso ai dati: Gli attaccanti hanno accesso prioritario alle chat con cui la vittima ha interagito di recente.

Come proteggersi subito:

📲 Aggiorna iOS: Installa immediatamente l'ultima versione disponibile per correggere la falla di sistema e le vulnerabilità note.

🛡️ Modalità Isolamento: Attiva la "Lockdown Mode" (Modalità isolamento) nelle impostazioni per ridurre drasticamente la superficie d'attacco e limitare gli automatismi del sistema.

🔐 Lucchetto Chat: Utilizza il blocco biometrico per le chat sensibili; dalle analisi forensi, questa funzione sembra impedire agli attaccanti di leggere o interagire con quelle specifiche conversazioni.

🔄 Reinstalla WhatsApp: In caso di sospetta compromissione, aggiornare o reinstallare l'app può aiutare a espellere l'intruso rinegoziando correttamente la sessione con i server.

Nel primo commento potete trovare l'analisi tecnica completa sul nostro sito.

La digitalforensics su sistemi macOS è un'attività ancora un po' ostica, fortunatamente online sono disponibili diversi tool tra i quali l'ottimo Dissectify, rilasciato dallo specialista Ali Jammal come un nuovo strumento open source pensato per semplificare radicalmente le attività di analisi forense di dispositivi Apple.

L’obiettivo del tool d'informaticaforense è quello di offrire un’unica soluzione integrata, eliminando la necessità di gestire script multipli e workflow frammentati.

Dissectify consente agli analisti forensi di puntare direttamente a una raccolta di dati presenti su Mac e avviare immediatamente l’analisi, eseguendo innanzitutto un controllo di integrità (“health check”) per verificare la solidità della collezione, per poi processare automaticamente i dati attraverso 61 parser di artefatti.

I risultati vengono esportati in un file XLSX ordinato e pronto all’uso, facilitando la revisione e la reportistica.

Tra gli artefatti analizzati figurano:

✅ chat iMessage
✅ permessi TCC
✅ cronologia dei browser
✅ KnowledgeC e Biome
✅ shell history
✅ keychain
✅ FSEvents

Tutti i dati vengono normalizzati e presentati in modo strutturato, riducendo drasticamente i tempi di analisi.

Un’altra funzionalità distintiva è l’integrazione con Velociraptor: Dissectify è in grado di generare automaticamente collector offline, per farlo è sufficiente scaricare il binario, avviare la build e distribuire il collector, senza configurazioni complesse.

Il primo avvio è altrettanto immediato: il tool scarica automaticamente tutte le dipendenze necessarie e, grazie a un sistema di aggiornamento integrato, Dissect e i plugin dei collector restano sempre allineati alle versioni più recenti.

Dissectify funziona interamente tramite una terminal UI, senza necessità di browser, server o setup complicati. Basta clonare il repository, avviare il tool e iniziare a lavorare.

Il progetto è completamente open source ed è disponibile su GitHub al link riportato nel primo commento.

⏰ Oggi, tra le 2:00 e le 3:00, il tempo... non è esistito.

Ogni ultima domenica di marzo è infatti un giorno importante per chi si occupa di perché si passa all'ora legale spostando in avanti le lancette dalle dalle 02:00 alle 03:00, passando quindi da GMT+1 a GMT+2 e "saltando" un'ora.

Non tutti i dispositivi si aggiornano in automatico e anche quelli che possono farlo dipende da come sono stati configurati, è quindi essenziale nella ricostruzione delle tenere sempre conto del fuso orario di riferimento e del periodo dell'anno, oltre che del fatto che appunto il dispositivo tenga conto o meno di questi due riferimenti e che l'utente può in ogni caso gestire diversamente le cose. 👀

Anche l'ultima domenica di ottobre è importante e persino più complicata da gestire, perché si torna all'ora solare e le lancette si spostano un'ora indietro (dalle 03:00 alle 02:00) sostanzialmente vivendo due volte la stessa ora, che viene distinta quindi dal regime orario di riferimento.

Potremmo quindi avere due eventi distinti occorsi apparentemente alla stessa ora - ad esempio un login e un logout entrambi alle 2:30 - ma il primo in CEST/UTC+2 e il secondo in CET/UTC+1. 🚨

Un’ultima nota sulle sigle: oltre al “vecchio” GMT, oggi si utilizzano più correttamente CET (Central European Time, ora solare), CEST (Central European Summer Time, ora legale) oppure UTC+1 / UTC+2: il riferimento moderno è infatti l’UTC (Coordinated Universal Time), che ha sostituito il GMT come standard internazionale.

Nella quindi un’ora può non esistere oppure esistere due volte, essenziale quindi tener conto di tutte le problematiche legate ai fusi orari e ai regimi solare/legale quando si ricostruiscono eventi in una timeline o . 🫆

Come farsi compromettere l'account in due semplici mosse: si chiama " " e ultimamente stiamo ricevendo diverse richieste di supporto da parte di chi ha scoperto di avere l'account .

Nel primo scenario la vittima viene convinta a inquadrare un preparato dall’attaccante, credendo di fare una verifica o attivare un servizio. In realtà sta autorizzando il computer dell’attaccante, che da quel momento può leggere le chat e inviare messaggi a suo nome.

Nel secondo scenario non c’è nemmeno il QR code: l’attaccante fornisce un numerico di 8 cifre e chiede di inserirlo nell’app, ad esempio per votare la vincitrice di un concorso di danza, caso d'uso tipico di questo attacco nel quale la richiesta arriva da contatto reale, quindi ci si fida e si vota.

Ci si può accorgere del problema quando compaiono dispositivi collegati che non si riconoscono o quando i messaggi risultano letti e inviati senza aver usato il telefono, ma spesso le vittime ci mettono settimane ad accorgersi di quanto accaduto.

Cosa si rischia? Il dell'account no, dato che per rubare un account la procedura che si utilizza è leggermente diversa e ne parleremo in un separato post. Si rischia che gli attaccanti leggano i messaggi, li utilizzino per fare estorsioni o scrivano al posto nostro invitando a investire in crypto, chiedendo dei soldi con la scusa del , dell'ospedale, dell'incidente stradale o dei problemi all'estero.

Spesso poi i criminali usano gli account compromessi per comprometterne altri, confidando nel fatto che chi riceve un messaggio da un conoscente tende a dargli fiducia e quindi fornire codici o inserirli nell'app con se la richiesta è credibile.

La difesa è tutta nella prudenza: non scansionare mai QR code e non inserire mai codici ricevuti da altri, controllare spesso l’elenco dei dispositivi collegati e se si scopre che l'account Whatsapp è stato attivato altrove disconnettere quelli sospetti, attivare la verifica in due passaggi e non lasciare il telefono sbloccato incustodito.

Come gestire correttamente un , prestando la dovuta attenzione a tutte le fasi, inclusa quella di acquisizione della prova digitale?

Ci dà alcune utili indicazioni l'Agenzia per la Cybersicurezza Nazionale nel report "Linee Guida , Definizione dei processi e delle procedure per la gestione degli incidenti di Sicurezza Informatica" appena pubblicato sul sito e liberamente scaricabile.

Il documento, elaborato sulla base del Piano Triennale per l’informatica nella Pubblica Amministrazione 2024-2026, ai sensi dell’art. 14-bis del Codice dell’Amministrazione Digitale (CAD) definisce un modello di riferimento per strutturare in modo chiaro le fasi di preparazione, rilevamento, risposta, ripristino e miglioramento nella gestione degli incidenti, con particolare attenzione all’organizzazione dei ruoli, alla definizione delle politiche interne e all’adozione di procedure operative e playbook, con alcune interessanti appendici utili per la fase operativa.

Tra le parti più rilevanti, almeno dal nostro punto di vista in Forenser Srl, spicca il riferimento alla fase di , dove viene menzionata l’ delle evidenze digitali a supporto delle .

La fase di è spesso la più sottovalutata - dato che la precedenza viene data alla - ma è strategica perché consente di raccogliere, preservare e analizzare le tracce digitali dell’incidente in modo da poterle utilizzare anche in sede tecnica o giudiziaria.

Purtroppo, nella pratica quotidiana questa fase è ancora troppo spesso trascurata. Quando si verifica un attacco o un’infezione, la priorità è quasi sempre quella di ripristinare i sistemi, far ripartire i servizi, tornare “online” il prima possibile, ma saltare o improvvisare l’acquisizione forense significa perdere per sempre informazioni preziose: come è avvenuto l’attacco, chi lo ha condotto, quali vulnerabilità sono state sfruttate e se sono stati esfiltrati dati sensibili.

Senza una corretta attività di acquisizione e analisi forense, non solo diventa difficile attribuire l’incidente o stimarne l’impatto, ma spesso risulta impossibile redigere una completa e attendibile.

Le linee guida ACN rappresentano quindi un passo importante verso un approccio più maturo alla gestione degli incidenti informatici, in cui la fase di acquisizione delle tramite tecniche d' non è un accessorio, ma una componente essenziale del processo.

Link alla pagina con il che riporta le Linee Guida di ACN sulla gestione degli incidenti di sicurezza informatica nel primo commento.

Mercoledì 5 novembre dalle 10:00 alle 13:00 si terrà a Milano presso la Sala Conferenze "Eligio Gualdoni" nel Palazzo di Giustizia Milano il seminario "La prova nelle , e sfide dell' ", evento gratuito, organizzato dall'Ordine degli Avvocati di Milano - Commissione Codice Rosso - attraverso la Fondazione Forense, nell'ambito del programma di formazione continua per gli Avvocati.

I Saluti introduttivi saranno dell'Avv. Antonio Finelli, Consigliere dell’Ordine degli Avvocati di Milano, Coordinatore della Commissione Codice Rosso.

I temi trattati e i relatori della giornata su "La prova nelle indagini preliminari, provein formatiche e sfide dell'intelligenza artificiale" saranno i seguenti:

📍 L’acquisizione e conservazione della : breve lettura del quadro normativo italiano e della giurisprudenza di legittimità - Avv. Maria Teresa Zampogna, Componente della Commissione Codice Rosso dell’Ordine
degli Avvocati di Milano;
📍 L’efficacia probatoria dei documenti informatici e la valutazione giudiziale delle - Avv. Anna Campanella, Componente della Commissione Codice Rosso dell’Ordine degli Avvocati di Milano;
📍 L’impatto dell’intelligenza artificiale generativa nella raccolta della prova informatica: dall’analisi delle tecnologie di manipolazione e di rilevamento alle strategie difensive e probatorie - Dott. Paolo Dal Checco, Consulente tecnico informatico;
📍 , manipolazione digitale e nuove sfide probatorie: prassi e azioni del Tribunale nella valutazione della prova informatica nell’epoca dell’Intelligenza artificiale generativa - Dott. Roberto Crepaldi, Giudice per le Indagini Preliminari presso il Tribunale di Milano;
📍 L’art. 50 del codice deontologico forense: fra dovere di verità e la raccolta e l’utilizzo di prove (false) - Avv. Antonio Finelli, Consigliere dell’Ordine degli Avvocati di Milano, Coordinatore della Commissione Codice Rosso
📍 Il ruolo dell’ nella genesi dell’ -
Fabio Di Venosa, Investigatore privato

La partecipazione all'evento consente l'attribuzione di n. 3 crediti formativi di cui n. 1 in materia obbligatoria.

Domani mercoledì 29 ottobre 2025 Bologna ospita la 15ª edizione della conferenza , organizzata dal Club Nazionale Cyberprotection, e rivolta ai professionisti della protezione dei dati e della cybersecurity.

Nel pomeriggio, il e CEO Forenser Srl, Paolo Dal Checco, insieme all'Avv. Piera Di Stefano, all'Avv. Costanza Matteuzzi, al L.gt Davide D'Agostino e al Analyst Giulio Angelo Fontana terranno un intervento dal titolo "Privacy 'sotto processo': indagini penali informatiche e sequestro dei dispositivi. Quali garanzie?"

Durante il talk si parlerà dell’acquisizione delle , che rappresenta una sfida sempre più rilevante nelle attività investigative e di di dispositivi informatici, dovendosi bilanciare la necessità di raccogliere elementi probatori utili con il rispetto dei principi della privacy e riservatezza delle comunicazioni. Un tema centrale è la distinzione tra due tipi di , la – una riproduzione integrale del supporto digitale – e la , limitata alle sole evidenze di indagine, che ha sollevato importanti questioni operative e giuridiche, in parte ancora “aperte”, nonostante i recenti interventi della Corte Suprema di Cassazione.

Domenica scorsa è andata in onda la seconda parte del servizio TV dove il CEO Forenser sta collaborando come per nel caso ormai famoso dell' dell' .

La iena sta infatti seguendo la storia di due dipendenti di una minacciati da uno che pare abbia accesso ai loro PC, smartphone, posta elettronica, social network, instant messaging e utenze telefoniche. L'attaccante, oltre a spiarne i contenuti e le attività, li utilizza poi per comunicare anche tramite o anonime con le vittime, loro parenti e amici.

Una situazione tecnicamente complessa alla quale si aggiungono episodi di serrande che si aprono da sole e nella seconda puntata anche principi d' all'interno della scuola guida, il che rende la vicenda maggiormente pericolosa.

Il CEO Forenser Paolo Dal Checco insieme a parte del team ha proceduto con la di alcuni dispositivi e dei social per verificare con una la presenza di tracce dell'hacker: pare che dall' siano emerse alcune novità che verranno svelate nella prossima puntata.

Nei commenti il link al video dell'hacker dell'autoscuola parte 2 e - per chi se lo fosse perso - alla parte 1 del servizio de Le Iene dove viene presentato lo scenario, sentiti i protagonisti e raccolte alcune .

Dopo il caso delle immagini intime condivise e pubblicate illegalmente su alcuni siti e social network esploso la scorsa estate Enrico Pagliarini di Radio 24 ha chiesto al CEO Paolo Dal Checco - esperto di e - quali sono gli strumenti tecnologici disponibili per il controllo dei propri dati, immagini e video, pubblicati sul Web.

Una interessante chiacchierata con alcuni consigli su come identificare proprie immagini o video, come prevenirne la diffusione e con una considerazione anche sulla Legge sulla e sugli obblighi dei professionisti in vigore dal 10 ottobre 2025.

Link alla puntata nel primo commento.