DRIFT Linux: la nuova live distro forense italiana

Nel panorama delle distribuzioni Linux dedicate alla digital forensics, arriva una novità interessante: DRIFT Linux, una live distro forense italiana progettata dall’esperto Massimiliano Dal Cero come un vero e proprio laboratorio per professionisti DFIR, consulenti d’informatica forense e forze dell’ordine.

DRIFTLINUX Distro Informatica Forense basata su Linux per acquisizioni e copie forensi

L’Italia è nota da anni per le live distro forensi, a partire dalle storiche DEFT e Caine, seguite da Tsurugi (alla quale Massimiliano Dal Cero contribuisce e continuerà a fornire supporto) e altre distro minori, si è però sempre sentita l’esigenza di un approccio minimale e con un occhio all’utilizzo pratico che gli informatici forensi fanno delle distribuzioni live, che poi possono essere utilizzate anche in macchine virtuali VM oppure installate su un PC.

Cos’è DRIFT Linux?

DRIFT nasce come sistema live pensato per operare direttamente sul campo in attività di acquisizione di dispositivi, raccolta di evidenze (anche da web e cloud) e alcune delle prime fasi di analisi. L’obiettivo di DRIFT Linux è offrire uno strumento immediato, pronto all’uso e completo già dal boot.

DRIFT Linux Digital Forensics Live Distro

La live distro per digital forensics DRIFT Linux si avvia in pochi secondi e mostra un menù completo di tutti gli strumenti indispensabili per attività d’incident response e informatica forense.

Caratteristiche principali

DRIFTLinux ha alcune caratteristiche che lo rendono un progetto interessante per chi si occupa d’informatica forense:

  • Live system operativo e portabile
    Nessuna installazione necessaria: avvio immediato e utilizzo su qualsiasi macchina.
  • Focus su acquisizione e raccolta evidenze
    Supporto per copia forense di dispositivi fisici e acquisizione di contenuti web completi, analizzabili offline, tramite un tool di web forensics.
  • Toolset integrato per DFIR
    DRIFT Linux Include strumenti essenziali per iniziare subito le attività di investigazione digitale.
  • Struttura modulare e razionale
    Progettata per essere organizzata, estendibile e facilmente mantenibile.

Essendo progettata in modo modulare e minimale, la live distro DRIFT Linux permette l’avvio in RAM tramite il parametro di boot al kernel “toram” selezionabile direttamente all’avvio.

DRIFT Linux boot in RAM con toram

Allo stesso modo, si può selezionare l’avvio grafico o testuale, verbose o con persistenza, eventualmente anche con una modalità avanzata e troubleshooting in caso di problemi di boot.

Per poter fare mount in modalità read-only viene fornito un “DRIFT Forensics Mount Manager” con lo scopo di permettere di selezionare e verificare la modalità di mount di ogni periferica.

DRIFTLinux Forensic Mount Manager

Altra piccola ma importante accortezza: la rete (ethernet, wifi, etc…) è sconnessa all’avvio a meno che l’utente non la abiliti dopo il boot tramite il “DRIFT Connection Panel”, in modo da rimanere silente anche sulla parte di connettività.

DRIFT Linux Network Connections Panel

Filosofia progettuale alla base di DRIFT Linux

Alcuni degli aspetti più interessanti dietro la distribuzione forense DRIFT Linux che emergono dal sito web e da una prima visione del prodotto sono:

  • Approccio pragmatico: strumenti utili, concreti, pronti all’uso sul campo
  • Modularità: ogni componente ha uno scopo chiaro, evitando complessità inutili
  • Portabilità totale: l’idea di “forensic lab in tasca” è centrale nello sviluppo
  • Efficienza operativa: ridurre il tempo tra acquisizione e analisi

Questa visione richiama la tradizione Linux/Unix, nella quale vengono privilegiati gli strumenti semplici, focalizzati e componibili, nell’ottica di una sempre maggiore efficacia e chiarezza.

Download e versioni a confronto

DRIFT Linux è disponibile per il download gratuito al link “Download DRIFT Linux” sulla home page del progetto, nella quale vengono proposte ben quattro alternative:

DRIFT Fast 2026.01: La versione standard, 1256MB di software preconfigurati per l’informatica forense e la gestione degli incidenti informatici (drift-linux-FAST-hybrid.iso, MD5: b5aa7a8e9e18cbe4b462dfa3bc81a4cd58ac31fc).

DRIFT Fast XS 2026.01: La versione ridotta per le sole acquisizioni forensi e primo intervento, 782 MB di strumenti pronti all’uso che possono essere caricati in RAM anche su PC con poca disponibilità di memoria (drift-linux-FAST-XS-hybrid.iso, MD5: 829e71ad69e0189b93e63afb93093564).

DRIFT Fast Micro 2026.01: La versione ultra minimalista, che a breve sarà disponibile e occuperà poco spazio sia su disco sia eventualmente in memoria, con i soli tool per acquisizioni forensi in contesti dove l’occupazione di risorse e la compatibilità possono essere un problema.

DRIFT Paddock 2026.01: La versione installabile per chi preferisce lavorare su una workstation in versione permanente e non dover avviare tutte le volte una distribuzione live che risiede soltanto in RAM.

Sempre nella pagina di Download di DRIFT Linux, Massimiliano Dal Cero ha deciso di ripubblicare le “vecchie glorie“, le distribuzioni DEFT Zero delle quali era già uno degli autori al tempo, distribuzioni che ancora oggi vengono utilizzate perché pur se obsolete si sono dimostrate stabili e minimali:

DEFT Zero 2017.1: La versione DEFT Zero originale, “senza zucchero e tool aggiunti”, ideale per sole acquisizioni forensi e massima compatibilità (deftZ-2017-1.iso, SHA256 beb575e34d948536474770c0af96c15111275e63e3e9975fa79fb337294a2cb0)

DEFT Zero 2018.2: nelle due versioni Original 2O (deftZ-2018-2O-resurrected.iso, SHA256 d207c31e880a46629a0a8c179502644ae76d3e10613bd7ee7a4a929a8ce0fff2) e Updated 2U (deftZ-2018-2U-resurrected.iso, SHA256: 112a7e3ebc5f063e7b80a3f035cb6dca498aec40323c2f0cc271e20c7f81a6dd)

Manuale d’uso e video tutorial

Il sito web contiene utile documentazione relativa al progetto, inclusi alcuni video tutorial di DRIFT Linux in azione che mostrano in modo immediato le caratteristiche principali della live distro.

Una volta scaricata la ISO della versione prescelta della live distro, è sufficiente creare una “live usb” tramite balenaEtcher, Rufus, Ventoy o dd e avviare la distribuzione dalla porta USB del PC ove s’intente utilizzare DRIFT Linux.

Intelligenza Artificiale – La visione dell’avvocatura torinese, Convegno a Torino

L’intelligenza artificiale e l’Avvocatura sono un binomio molto discusso, in particolare negli ultimi mesi durante i quali leggiamo notizie di atti che paiono essere stati predisposti con o dall’IA.

Gggi pomeriggio in Maxi Aula 1 del Tribunale di Torino se ne parlerà al convegno “Intelligenza Artificiale – La visione dell’avvocatura torinese“, organizzato da Fondazione dell’Avvocatura Torinese Fulvio Croce e il gruppo Il Sole 24 Ore, parte del ciclo di incontri “Temi d’Impresa” – XII° incontro.

La direzione scientifica è dell’Avv. Riccardo Salomone, i saluti dell’Avv. Avv. Enrico Maggiora, Presidente Fondazione Fulvio Croce, la presentazione brevIArio sarà condotta dagli Avv.ti Alessio Chiabotto, Vittoria Diotallevi, Carlo Negro e Paolo Pisano – Commissione IA Ordine COA Torino.

Il Prof. Avv. Giovanni Maria Riccio – Professore Ordinario di Diritto Privato – Università di Salerno – terrà una relazione su AIAct: quadro normativo attuale.

Seguiranno gli interventi sugli aspetti tecnici con:

  • “La conservazione dei dati, l’autoapprendimento, i bias”, Dr. Paolo DAL CHECCO – Consulente Informatico Forense;
  • “Profili GDPR e aspetti deontologici”, Avv. Cristiano Michela – Consigliere Ordine Avvocati Torino;
  • “AI e responsabilità in ambiti specifici: l’utilizzo in campo giudiziario”, Prof. Avv. Prof. Avv. Marco Martorana – Professore a contratto in diritto della privacy – Universitas Mercatorum.

Conclude l’incontro la parte pratica, introdotta dal Dr. Paolo Roccia – Il Sole24 ORE – e un intervento sugli strumenti per i professionisti, tenuto dall’Avv. Alberto Bozzo – Formatore IlSole24ORE.

La locandina dell’evento su Intelligenza Artificiale e Avvocatura è disponibile e visionabile al seguente link.

Locandina convegno su Intelligenza Artificiale e Avvocatura a TorinoDownload

Convegno a Latina sulle responsabilità degli intermediari finanziari e degli istituti di credito

L’Associazione dei Consumatori CODACONS Latina, per il tramite del Presidente Provinciale Avv. Antonio Formiconi, in collaborazione con il Consiglio dell’Ordine degli Avvocati e lo Studio Legale Di Resta Lawyers, organizza un importante convegno dedicato alla tutela dei risparmiatori e dei correntisti dal titolo “Le responsabilità degli intermediari finanziarie degli istituti di credito: risparmio tradito e frodi telematiche“.

IL convegno si terrà lunedì 23 marzo 2026, alle ore 15:00 presso il Circolo Cittadino di Latina – Piazza del Popolo, 1, l’ingresso è libero ma i posti sono limitati.

L’iniziativa nasce con l’obiettivo di offrire strumenti concreti per comprendere i rischi legati agli investimenti finanziari e alla gestione dei conti correnti, con particolare attenzione ai fenomeni sempre più diffusi delle frodi bancarie e digitali.

A chi è rivolto il convegno sulla responsabilità degli intermediari finanziari e le frodi telematiche

L’evento sul risparmio tradito e le frodi telematiche in ambito bancario è rivolto a:

  • cittadini e consumatori
  • risparmiatori e investitori
  • professionisti interessati alla materia

Un’occasione utile per acquisire consapevolezza sui propri diritti e sulle tutele previste dall’ordinamento.

I temi trattati durante il convegno sulle frodi informatiche e bancarie

Durante il convegno che si terrà a Latina (Roma) sugli intermediari finanziari verranno approfonditi, con taglio pratico e giuridico:

  • la responsabilità degli intermediari finanziari e degli istituti di credito
  • la tutela del risparmio e i casi di “risparmio tradito”
  • gli obblighi informativi previsti dalla normativa MIFID
  • le frodi bancarie e informatiche, tra cui phishing, chiamate fraudolente (ID spoofing), SIM swap, investimenti su piattaforme digitali e criptovalute

Un focus particolare sarà dedicato agli strumenti di difesa e alle azioni concrete a tutela dei cittadini.

Programma dell’evento e relatori del convegno sulle truffe bancarie e reati finanziari

Al Convegno sulle responsabilità degli intermediari finanziari in caso di truffe e frodi interverranno:

Avv. Giovanni Grassucci – Foro di Latina – docente universitario in ambito protezione dei dati personali

Moderatore: Avv. Giovanni Lauretti – Presidente dell’Ordine degli Avvocati di Latina

Saluti istituzionali: Avv. Antonio Formiconi – Foro di Latina – Presidente di Codacons Latina

Intervento Introduttivo

  • Avv. Jacopo Barcati – Foro di Treviso – Avvocato Of Counsel Studio Legale Di Resta Lawyers: La tutela del risparmiatore tradito e l’inosservanza degli obblighi in base alla normativa MIFID
  • Avv. Veronica Miccinilli – Foro di Latina – Codacons Nazionale: Casi di successo per il risparmiatore e il ruolo di Codacons
  • dott. Valentino Vecchi – Commercialista e specialista in contenzioso bancario – Ordine commercialisti di Napoli: Verifiche di appropriatezza e di adeguatezza a tutela del risparmiatore nell’ambito dei rapporti bancari
  • Avv. Fabio Di Resta – Foro di Latina – DPO e Professore universitario a contratto Cybersecurity e protezione dei dati: La tutela del correntista e del risparmiatore vittima frode di informatica bancaria e finanziaria
  • dott. Paolo Dal Checco – Esperto di informatica forense – Professore universitario a contratto corso di sicurezza informatica – CTU presso il Tribunale di Torino (intervento da remoto): Le investigazioni informatiche forensi a tutela dei correntisti e degli investitori vittime di frodi bancarie e delle piattaforme di criptovalute.

Chiude l’evento sulle frodi informatiche e telematiche in ambito bancario una sessione di domande e risposte.

Il talk sulle investigazioni informatiche forensi in ambito di frodi bancarie

Nel mio talk parlerò di come si svolgono, in concreto, le attività di perizia informatica forense nei casi di frodi bancarie e truffe legate alle piattaforme di criptovalute, con un taglio pratico e operativo. Partendo dai principali schemi di attacco (phishing, spoofing, SIM swap e falsi investimenti online ma anche social engineering, man in the mail e CEO Fraud) illustrerò quali elementi probatori possono essere raccolti sin dalle prime fasi e perché la tempestività è determinante per la riuscita delle indagini.

Analizzerò il ruolo della vittima, evidenziando cosa può e deve fare immediatamente per preservare le prove digitali (chat, email, log di accesso, dispositivi, eventuali malware) e quali richieste avanzare agli istituti bancari per ottenere dati tecnici fondamentali (indirizzi IP, sistemi di autenticazione utilizzati, tracciature delle operazioni).

Affronterò inoltre le peculiarità investigative delle frodi in ambito crypto, soffermandomi sulla raccolta di indirizzi wallet, sull’analisi delle transazioni e sui limiti e le opportunità offerte dalla tracciabilità della blockchain.

Infine, offrirò una panoramica delle attività della Polizia Giudiziaria, illustrando quali dati possono essere acquisiti (bancari, telefonici e telematici) e quali sono le principali criticità investigative, con l’obiettivo di fornire ai partecipanti strumenti concreti per comprendere come si costruisce, passo dopo passo, un’indagine efficace in questo ambito.

Informazioni utili

  • Ingresso libero (posti limitati)
  • Accreditamento in corso per crediti formativi avvocati
  • Email per informazioni: [email protected]

Brochure dell’evento

La brochure dell’evento sulle responsabilità degli intermediari finanziarie degli istituti di credito: risparmio tradito e frodi telematiche è disponibile e scaricabile dal seguente link.

Locandina del Convegno sulle Truffe Telematiche in ambito BancarioDownload

Con Le Iene sulla manipolazione delle chat Whatsapp

Possiamo fidarci di una prova digitale composta da chat Whatsapp contenute su uno smartphone, magari depositate in Giudizio anche a seguito di copia forense e parsing tramite i migliori strumenti d’informatica forense?

La realtà, purtroppo, è che i messaggi Whatsapp possono essere oggetto di manipolazione, con conseguenti problemi di attendibilità dei contenuti prodotti, che possono apparire sia alla visione dello smartphone sia nel report di estrazione forense del tutto originali ma in realtà possono non esserlo e nonostante questo essere utilizzati nei processi come prova informatica.

In qualità di Consulente Informatico Forense per Le Iene e Matteo Viviani, ho mostrato nel servizio TV andato in onda su Italia 1 domenica 22 febbraio 2026 come è possibile falsificare una chat Whatsapp in modo da renderla apparentemente indistinguibile da una chat originale, per rendere consapevoli tutti dei rischi che ciò avvenga anche nell’ambito di processi civili o penali nei quali vengono prodotte chat Whatsapp come prove digitali di attività illecite o reati.

Paolo Dal Checco Consulente per Le Iene e Matteo Viviani su manipolazione chat Whatsapp su smartphone

Insieme a Matteo Viviani, abbiamo quindi approfondito il problema della falsificazione e manipolazione di chat e messaggi Whatsapp, valutando quanto questo tipo di evento possa lasciare tracce sui dispositivi, se le copie forensi – e quindi analisi del DB, datazione file, log, etc… – possano rivelare tentativi riusciti o meno di manipolazione e come nell’ambito di perizia informatica e consulenza per Tribunale e Procura della Repubblica venga saltuariamente considerata la possibilità che le chat prodotte in Giudizio possano essere effettivamente non originali.

Dal punto di vista giuridico, è anche comprensibile, dato che le prove possono essere disconosciute e in tal caso si aprono scenari ulteriori di approfondimento, verifica, validazione, etc… ma se viene prodotta una chat, una mail, un SMS così come foto, video o registrazione e nessuno la contesta, tendenzialmente viene considerata valida.

Le Iene e la manipolazione dei messaggi Whatsapp

La manipolazione delle chat Whatsapp è chiaramente un rischio che va tenuto in considerazione data la diffusione di tale metodo di comunicazione e la frequenza con la quale messaggi di testo, vocali, allegati o documenti scambiati tramite WhatsApp diventano prove informatiche in una causa civile o penale all’interno di processi nei quali le chat possono diventare prove spesso strategiche di reati.

Precisiamo che non si tratta della semplice manipolazione intesa come creazione di false chat tramite App come Fake Chat Message, che generano screenshot realistiche di chat non esistenti ma – come ho mostrato nel servizio TV per le Iene andato in onda domenica 22 febbraio 2026 – il rischio concreto è di manipolazione delle chat direttamente nel database dell’App all’interno del dispositivo.

Le Iene - Servizio con Matteo Viviani - Non possiamo fidarci delle chat Whatsapp

La falsificazione mostrata nel servizio de Le Iene nel quale ho supportato come perito informatico le Iene e in particolare Matteo Viviani con l’autore Riccardo Spagnoli è possibile perché il database principale di Whatsapp non è cifrato ma è protetto dall’accesso da parte dell’utente o di altre App, quindi è teoricamente leggibile e modificabile se si riesce ad accedervi.

Chiaramente la modifica del database di Whatsapp non è banale, richiede conoscenza dei protocolli e un minimo di pratica di iOS o Android, ma è comunque fattibile e se fatta con la dovuta attenzione lascia poche tracce, rendendo così più complesso il lavoro dell’informatico forense che oltre a eseguire copia forense del dispositivo, estrazione dati e analisi può essere incaricato anche di eseguire verifiche di validazione dell’integrità delle chat.

Grazie al supporto del team dello studio Forenser – con il quale abbiamo lavorato e fatto ricerca su casi di manipolazione di messaggi Whatsapp – ho proceduto a mostrare nel servizio de Le Iene un esempio di falsificazione di chat tramite alterazione del database presente sul dispositivo, utilizzando un Macbook come supporto e un SQLite browser.

Matteo Viviani con Forenser sulla manipolazione di messaggi Whatsapp

Successivamente alla manipolazione delle chat svolta a fini dimostrativi alterando un messaggio ricevuto da Matteo Viviani, abbiamo provveduto ad acquisire in copia forense tramite un software di mobile forensics il contenuto dello smartphone ed estrarne le chat, mostrando come dal report forense risultano quelle modificate e non si ha contezza del fatto che sia avvenuta una modifica.

Dal punto di vista della sicurezza e anche dell’informatica forense, il database di Whatsapp è un elemento particolarmente delicato perché non è cifrato e quindi potenzialmente modificabile, anche se protetto dall’accesso di App terze. Esistono vari modi di modificarlo, sia direttamente sul dispositivo sia passando attraverso PC/Macbook, cloud o dispositivi esterni, cosa che rende tra l’altro difficile rilevare potenziali manipolaizoni.

Le varie copie di backup del database Whatsapp (es. su Android i 7 backup giornalieri, ma se ne può generare anche uno manuale) sono invece cifrati con chiave “KEY” creata da Whatsapp proprio perché fuori dall’area protetta. La cifratura poi può essere rafforzata tramite una ulteriore password simmetrica “end-to-end” rendendo quindi indecifrabile il file senza la chiave impostata dall’utente.

Paolo Dal Checco a Le Iene sulla Manipolazione dei messaggi Whatsapp su Smartphone

Uno dei metodi più semplici per manipolare le chat è chiaramente fare rooting di un dispositivo Android per poter accedere, leggere e persino modificare il database msgstore.db locale all’App, così come su iOS si può fare jailbreak e accedere direttamente al DB ChatStorage.sqlite.

Per questo motivo, riveste strategica importanza non soltanto la copia forense dell’interno smartphone – oltre al database Whatsapp – ma in caso di contestazioni o disconoscimento dei messaggi anche un’approfondita disamina del database, delle datazioni dei file, della timeline del dispositivo.

Criptovalute e Dark Web: Le nuove frontiere del crimine digitale su TV7

La scorsa settimana è andato in onda su Rai – Radiotelevisione Italiana un servizio di Alessandro Gaeta per TV7 dedicato al complesso rapporto tra monete virtuali e attività illecite nel “lato oscuro” della rete. Il reportage, arricchito dalla partecipazione del magistrato Dott. Nicola Gratteri e del sociologo Claudio Loiodice, ha offerto una panoramica davvero interessante e completa su un fenomeno in costante evoluzione.

Paolo Dal Checco e il giornalista Alessandro Gaeta su TV7

Nel mio intervento tecnico ho voluto fare chiarezza sulle dinamiche reali di questo mondo, partendo dalle basi: spesso dimentichiamo che lo spazio digitale a cui accediamo quotidianamente rappresenta solo il 5% di internet. Esiste un livello più profondo, il Deep Web (dove risiedono ad esempio i nostri dati bancari protetti da password), e poi c’è il Dark Web: una rete accessibile solo tramite protocolli specifici come Tor, che garantiscono la cifratura e l’anonimato. Sebbene questa tecnologia protegga anche giornalisti e dissidenti in regimi oppressivi, sotto il profilo criminologico rappresenta un problema enorme, ospitando mercati di armi, droghe e dati rubati.

Paolo Dal Checco parla di Dark Web su Rai1 a TV7

Il ruolo delle Criptovalute e la sfida del tracciamento Il cuore del mio contributo si è focalizzato sull’economia di questo mondo sommerso. Come spiego nel servizio, nel Dark Web non si usano contanti: la valuta di scambio è il Bitcoin (o frazioni di esso, dato il valore elevato). Ho approfondito le tecniche di acquisto, tracciamento, anonimizzazione e riciclaggio, mostrando concretamente come operiamo nelle perizie informatiche.

Per chi commette reati, il problema principale è che il Bitcoin, contrariamente a quanto si crede, non è totalmente anonimo: le transazioni sono stringhe alfanumeriche pubbliche. Per questo motivo, i criminali ricorrono a servizi di anonimizzazione chiamati “Mixers” o “Tumblers”: siti dove si versano fondi “sporchi” per riceverne indietro altri “puliti” (meno una commissione), nel tentativo di spezzare il legame con l’attività illecita. (Nota: Come da te indicato, nel servizio mostri l’utilizzo del software Crystal Intelligence per analizzare questi flussi su crypto, token ed NFT).

Crystal Intelligence su TV7 per Rai1 nel servizio di Alessandro Gaeta con l'informatico forense Paolo Dal Checco

I numeri e la logistica del crimine I dati emersi sono allarmanti. Nel 2024 sono stati rilevati circa 383 miliardi di euro in transazioni criminali: una cifra che supera il doppio del bilancio annuale dell’Unione Europea. Questo fiume di denaro digitale ha cambiato anche le abitudini dei grandi cartelli del narcotraffico: se fino a pochi anni fa i narcos preferivano il contante, oggi accettano volentieri pagamenti in criptovaluta, considerandola paradossalmente più difficile da tracciare per le forze dell’ordine.

Paolo Dal Checco parla di bitcoin mixer su Rai1 a TV7

Oltre all’aspetto finanziario, il servizio illustra la logistica sorprendente di questi traffici: dalla vendita di armi con spedizioni postali, fino alle droghe recapitate tramite corrieri ignari o utilizzando indirizzi fittizi e “punti di appoggio” per evitare la firma alla consegna.

Per chi fosse interessato a comprendere meglio queste dinamiche e visionare il servizio “Il buco nero della rete”, il pezzo di Alessandro Gaeta inizia al minuto 27:25 ed è visionabile pubblicamente dalla pagina RaiPlay di TV7.