Archivi tag: oxygen forensics

Con le Le Iene sulle tracce dell’hacker dell’autoscuola

Domenica 12 ottobre 2025 è andata in onda il servizio de Le Iene “Chi è l’hacker dell’autoscuola?” dove – come perito informatico per Le Iene – ho aiutato la iena Veronica Ruggeri a capire chi è l’hacker che per oltre un anno fa cyberstalking a due dipendenti di una scuola guida – Chiara e Andrea – accedendo ai sistemi e intercettando comunicazioni, inviando centinaia di messaggi giornalieri e monitorando in tempo reale le vittime.

Le Iene - Chi è l'hacker della scuola guida

Nel servizio andato in onda su Mediaset ho collaborato come consulente informatico forense per Le Iene supportando Veronica Ruggeri nella difficile analisi forense di un caso – un hacker che da un anno e mezzo tormenta i dipendenti di una scuola guida – dove la tecnologia è protagonista di una situazione paradossale.

Paolo Dal Checco, Tecnico Informatico Forense per Le Iene

Sono intervenuto – insieme a parte del team Forenser Srl composto per l’occasione da Matteo Vinci, Daniele Scanu e Marco Musumeci – In qualità di esperto informatico per Le Iene nella fase di ricognizione, intervista ai protagonisti, copia forense di smartphone e PC oltre che analisi forense di account e sistemi per poter arrivare a ricostruire la dinamica degli attacchi informatici subiti.

Durante la prima parte del servizio per Le Iene sull’hacker dell’autoscuola, Veronica Ruggeri fa emergere un quadro preoccupante nel quale i due protagonisti – Andrea e Chiara – illustrano oltre un anno di minacce, email anonime, telefonate, SMS, Whatsapp, messaggi su Instagram, accessi a mailbox, Facebook e social network, conti bancari, modem dell’autoscuola e tante altre superfici d’attacco violate dal misterioso attaccante.

Paolo Dal Checco e Veronica Ruggeri nel servizio per Le Iene sull'hacker dell'autoscuola

La parte I del servizio sull’hacker dell’autoscuola è solo l’inizio di una serie che ci condurrà sempre più vicini alla soluzione, lo scenario è quindi ancora aperto: con le Iene abbiamo formulato diverse ipotesi operative e iniziato a lavorare sulle copie forensi di PC e smartphone prodotte tramite il software di mobile forensics Oxygen Forensics durante il primo accesso presso la scuola guida.

Copie forensi di smartphone e PC per Le Iene con il software Oxygen Forensics

Confidiamo che l’intervento del team Forenser Srl durante l’episodio 1 dei servizi de Le Iene sull’hacker dell’autoscuola possa portare nella direzione giusta e produrre una perizia informatica in grado di far luce sulla preoccupante vicenda dell’hacker delll’autoscuola, tramite un misto di mobile forensics, network forensics, email forensics e più in generale digital forensics.

Durante la seconda parte della serie “Chi è l’hacker dell’autoscuola?” verranno mostrati ulteriori eventi occorsi nell’autoscuola e alcune analisi condotte da Veronica che saranno utili per fornire ulteriori elementi utile a comprendere chi possa celarsi dietro la figura dell’hacker che da oltre un anno e mezzo tormenta Andrea e Chiara e le persone che gravitano intorno alla scuola guida.

Le Iene e l'hacker dell'autoscuola con la perizia informatica della società d'informatica forense Forenser Srl

Ricordiamo che in tutti i casi nei quali sono necessari accertamenti su dispositivi mobili o fissi (smartphone, notebook, PC, etc…) è importante rivolgersi a società che si occupano d’informatica forense come la Forenser Srl o lo Studio d’Informatica Forense per cristallizzare le evidenze digitali e produrre analisi tecniche che conducano a una perizia informatica forense.

Telegram aggiunge la possibilità di esportare le singole chat

Esportazione di singola chat, gruppo, bot o canale TelegramTelegram ha da poco annunciato la possibilità di esportare una singola chat (ma anche gruppo, canale o bot) dal proprio profilo, includendo messaggi di testo, messaggi vocali, messaggi video, foto, filmati, stickers, GIF animate, vcard dei contatti, location e file allegati con un limite di 1.5 GB in totale. Vediamo come fare a esportare le proprie chat con relativi vantaggi, limiti e possibilità di utilizzo.

Continua a leggere

Le chat Whatsapp come prova a valore legale

La Cassazione sul valore legale delle chat Whatsapp nel processo

Le chat Whatsapp come prova a valore legaleLa Cassazione affronta, nella Sentenza n. 49016/2017 del 25 ottobre 2017, la questione della validità legale della trascrizione di chat Whatsapp a fini giudiziari, come prova in un processo, precisando che i messaggi Whatsapp possono essere considerati prova documentale ed essere utilizzati nel processo civile o penale solamente a certe condizioni.

Il caso sul quale si è espresso la Cassazione riguarda una denuncia per stalking,  a seguito della quale la difesa dell’imputato avrebbe voluto depositare la trascrizione di messaggi provenienti da chat Whatsapp per dimostrare l’inattendibilità della persona offesa, ma la Corte Territoriale si è rifiutata di inserire tali elementi addotti dalla parte nel fascicolo.

Secondo la Cassazione, è corretto che la Corte Territoriale non abbia accettato il deposito della trascrizioni perché le chat Whatsapp hanno valore come prova informatica nel processo solamente se viene acquisito anche il supporto – telematico o figurativo – contenente la registrazione, essendo la trascrizione una semplice riproduzione del contenuto della principale prova documentale.

Il motivo della necessità di depositare il supporto è – stando alla Sentenza n. 49016/2017 del 25 ottobre 2017 della Cassazione – che questo permette di “controllare l’affidabilità della prova medesima mediante l’esame diretto del supporto onde verificare con certezza sia la paternità dell registrazioni sia l’attendibilità di quanto da esse documentato“.

Poiché non è sempre possibile depositare il dispositivo originale (per motivi legati alla privacy dei contenuti, indisponibilità dell’hardware, danneggiamento, perdita, etc…) e dato che ormai in ambito digitale non esiste più il concetto di “originale” dato che la copia forense di un dispositivo ha la stessa valenza probatoria del dispositivo, è possibile valutare il deposito della copia forense del dispositivo di registrazione (registratore digitale, smartphone, telecamera, etc…) così da conferire il valore legale di prova informatica e documentale al suo contenuto (registrazioni, filmati, messaggi SMS o Whatsapp, etc…).

Per completezza, oltre al deposito dell’acquisizione forense del contenuto del dispositivo dal quale si vorranno estrarre le prove informatiche, riteniamo sia essenziale depositare anche una relazione tecnica forense che attesti la metodologia e strumentazione utilizzata per la copia forense, l’assenza di tracce di alterazione o manipolazione ai dati che dovranno essere utilizzati in Giudizio e i criteri con i quali sono stati estratti gli elementi probatori d’interesse come ad esempio i messaggi SMS o Whatsapp, registrazioni audio, filmati, etc…

La Cassazione non specifica come acquisire i messaggi Whatsapp come prova in un Processo, a fini legati e utilizzo in Tribunale, ma lascia intendere che se il deposito viene fatto in modo “integrale” (quindi con il dispositivo originale o il suo equivalente tramite acquisizione forense certificata) i dati possono essere accettati e utilizzati in Giudizio.

Per creare una copia conforme dei messaggi Whatsapp a uso legale (inclusi anche SMS, messaggi, chat o gruppi Telegram, Viber, iMessage, Facebook Messenger, Skype o qualunque altro sistema di Instant Messaging) è quindi necessario avvalersi delle tecniche di acquisizione forense da cellulare, smartphone o tablet, basate sui principi di inalterabilità della prova e conformità con l’originale espressi dalla Legge 48 del 2008 che cita, ad esempio, come le copie forensi debbano esse eseguite “adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione“, “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità.”.

Copia conforme di smartphone a uso legaleLo Studio si avvale della migliore strumentazione hardware e software per copia conforme dei contenuti e acquisizione forense certificata delle prove da smartphone e tablet per utilizzo in Tribunale, utilizzati da personale tecnico qualificato e con esperienza in ambito d’indagini digitali. Gli strumenti principali di cui ci avvaliamo sono l’israeliano Cellebrite UFED, Micro Systemation XRY, Oxygen Forensics, Paraben Device Seizure, Katana Forensics Lantern e altri software di mobile forensics che utilizziamo nell’ambito delle perizie informatiche di acquisizione forense da dispositivi mobili.

Per conferire maggiore autorevolezza alla perizia di acquisizione delle chat Whatsapp, talvolta può essere strategico produrre perizia informatica asseverata e giurata in Tribunale, in particolare in ambito di cause e processi civili. L’asseverazione e giuramento della perizia informatica viene fatta dal Perito davanti al Cancelliere del Tribunale al fine di assumersi la responsabilità giuridica e legale del proprio operato, garantendo di aver “bene e fedelmente proceduto alle operazioni e di non aver avuto altro scopo che quello di far conoscere la verità“.

Sarahah forensics

Sarahah forensics, analisi forense dell’App per messaggi anonimi

Sarahah forensicsIn questi giorni sta impazzando sui social il servizio “Sarahah”, disponibile sia via web sia tramite App per Android e iOS, che permette a chiunque iscriversi e ricevere messaggi anonimi. In questo articolo analizzeremo alcune potenzialità della “sarahah forensics”, cioè dell’analisi tecnica forense dell’App Sarahah su iPhone e Android e del sito web da cui inviare messaggi o su cui leggere i messaggi anonimi ricevuti dagli sconosciuti.

Continua a leggere

Cellebrite annuncia il servizio di sblocco PIN per iPhone 5s, 6 e 6 plus

Messaggio Twitter di Shahar Tal con annuncio sblocco PIN di iPhone 6 plusCon un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, ha annunciato pubblicamente [WBM] che Cellebrite è in grado di trovare il PIN dagli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli, cosa che fino a qualche giorno fa sembrava possibile soltanto con gli iPhone 4S, 5 e 5C.

Tutti ricorderanno il caso dello sblocco dell’iPhone 5C di San Bernardino richiesto dall’FBI del 2016 e la notizia della settimana scorsa dell’iPhone 5S di Tiziana Cantone sbloccato su richiesta dalla Procura di Napoli, il primo risolto grazie a una società esterna di cui non è mai stato confermato il nome ma che in tanti ritengono essere l’israeliana Cellebrite, mentre per il secondo – avvenuto per coincidenza pochi giorni prima il comunicato di Cellebrite – non ci sono ancora conferme ufficiali né sul metodo utilizzato né sugli autori per quanto sui giornali si parla di una collaborazione tra i Carabinieri di Napoli e l’Ing. Carmine Testa [WBM] senza cenni a interventi esterni.

Le informazioni presenti sul sito web della Cellebrite, incluse le pagine relative al servizio CAIS tramite il quale l’Autorità Giudiziaria può richiedere il servizio di sblocco PIN presso i laboratori Cellebrite a Israele o Monaco, non sono ancora state aggiornate ma ormai la nuova funzionalità del servizio sembra confermata anche dalle domande che diversi utenti hanno posto a Shahar sul suo profilo twitter. Messaggi di complimenti, come il “congrats on the new capability” cui Shahar Tal risponde con un  “Who said anything about ‘new’?” lasciando persino trapelare come la funzionalità di sblocco dei nuovi iPhone non sia una novità per la società israeliana.

Come sbloccare il PIN di iPhone con Cellebrite

Fino a pochi giorni fa infatti il servizio CAIS (Cellebrite Advanced Investigative Services) che permette di trovare il PIN dei dispositivi iOS (iPhone, iPad) a 32 bit e 64bit e Android per sbloccarli ed acquisire copia forense veniva offerto soltanto per i seguenti dispositivi:

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G, e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2)
  • Samsung Galaxy S6, Galaxy Note 5 e Galaxy S7 con tutte le versioni Android versions fino a e inclusa la Android Marshmallow 6.0.1

Per chi non la conosce, Cellebrite è una delle società leader in campo di mobile forensics, che fornisce il prodotto UFED utilizzato quotidianamente dai consulenti informatici forensi che eseguono perizie su cellulari e smartphone. La funzionalità di sblocco PIN da alcuni cellulari e smartphone era in parte già realtà grazie agli strumenti in dotazione a diversi studi di Informatica Forense, quali il Cellebrite UFED, il Micro Systemation XRY, l’Oxygen Forensics o l’IPBOX ma soltanto per alcune versioni di Android e per le vecchie versioni di iOS (iOS 7 e in parte iOS 8). Per gli iPhone con versione del Sistema Operativo iOS 7 è persino possibile lo sblocco pin quando il dispositivo è disabilitato e richiede di connettersi a iTunes per ripristinare il cellulare.

Sblocco del PIN di un iPhone disabilitato

Le versioni successive di iOS (quindi tutti gli iPhone inclusi quelli con processore a 64bit) non sono supportate da nessuno di questi tool e quindi il servizio di sblocco PIN e password da cellulare fornito da Cellebrite diventa strategico in caso di perizia tecnica informatica su dispositivi mobili in ambito giudiziario, considerando però che la momento non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 e non è compatibile con smartphone con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus.

Cellebrite deve essere infatti riuscita a superare le protezioni impose dal meccanismo di secure enclave, che come descrive Apple a pagina 12 della sua Guida Ufficiale sulla Sicurezza dei Dispositivi iOS [WBM] comanda i ritardi dell’inserimento del PIN lock sui dispositivi con processore A7 o successivi. Secure Enclave impone infatti i seguenti ritardi tra i tentativi di inserimento del codice: da 1 a 4 tentativi nessun ritardo, al quinto tentativo 1 minuto di ritardo, al sesto 5 minuti, al settimo e ottavo 15 minuti, al nono 1 ora. Un ulteriore tentativo errato d’inserimento PIN porta l’iPhone nello stato di disabled, disabilitato, oppure ne avvia il ripristino se “Impostazioni > Touch ID e codice > Inizializza dati” è attivato.

Shahar, con ulteriori tweet, ringrazia il suo team per gli obiettivi raggiunti e per il supporto dato alla giustizia in tutto il mondo, in particolare nei casi relativi a molestie su minori che vengono catturati e imprigionati grazie al lavoro dei ricercatori che permettono alle Forze dell’Ordine di acquisire in maniera forense i dati presenti sugli smartphone per utilizzarli come elementi probatori.

In base alle informazioni presenti in rete, il servizio CAIS di sblocco PIN e password di iPhone e Android possiede le seguenti caratteristiche e limitazioni:

  • il servizio può essere richiesto solamente dall’Autorità Giudiziaria, in ambito d’indagini per processi penali o civili;
  • l’operazione di PIN unlock costa circa 1.500 dollari;
  • l’unlock del PIN non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 né quelli con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus
  • il servizio di sblocco viene offerto soltanto presso le sedi Cellebrite, è quindi necessario portare di persona lo smartphone da loro o spedirlo;
  • non è possibile assistere all’operazione di sblocco del PIN o della password del dispositivo;
  • al termine dell’attività tecnica viene fornito al committente il codice PIN con il quale il cellulare è bloccato.