Quando si vuole acquisire un’email valida a fini legali, è necessario effettuarne una copia forense. Senza una copia forense, l’email può essere disconosciuta facilmente, se ovviamente non siamo difronte ad una PEC, nella quale i problemi sono, in tal senso, assai minori. Esistono diverse tecniche per effettuare un’attività di informatica forense sulle caselle di posta elettronica e su singole comunicazione a mezzo email e come sempre tutto dipende dal contesto in cui bisogna operare. Nell’articolo di oggi, andremmo a vedere come effettuare questo tipo di attività mediante un Downloader IMAP
Per informazioni, consulenze e preventivi
Per informazioni o Consulenze relative ai servizi di Informatica Forense e Perizie Informatiche, potete fare click sul bottone “Contattaci” per inviare una richiesta o contattarci telefonicamente.
Come fare l’acquisizione forense email
Come anticipato, la prima cosa che un perito informatico forense deve fare, nel momento in cui si trovi a dover acquisire e relazionare su un’email, è quella di analizzare il contesto in cui deve operare. In particolar modo, la domanda che si deve porre è:
- È necessario effettuare una copia forense della casella di posta da remoto?
È necessario effettuare una copia forense del dispositivo in cui l’email è contenuta?
Questa è la prima e fondamentale domanda a cui l’esperto di informatica forense deve rispondere. Nel primo caso, infatti, sarà necessario avere i dati di accesso, e la relativa autorizzazione ad accedere, del server di posta elettronica, ed effettuare successivamente un download di quest’ultimo, tenendo traccia (possibilmente) del traffico dati e generando le relative hash.
Nel secondo caso, invece, è necessario effettuare l’acquisizione forense del dispositivo in cui è contenuta la mail (pensiamo al caso in cui venga utilizzato un cliente di posta elettronica come Outlook oppure Mozilla Thunderbird) e successivamente procedere all’analisi mediante i software di Digital Forensics. Anche in questo caso, lo diamo per scontato, sarà necessario generare le realtive hash.
Quasi tutti gli strumenti di Digital Forensics mettono a disposizione la possibilità di effettuare l’acquisizione forense di un dispositivo e di analizzarne il contenuto; in particolar modo, quasi la totalità dei software di informatica forense permettono di estrapolare automaticamente le comunicazioni gestite dai client di posta più noti (come, ripetiamo, Outlook o Mozilla Thunderbird).
Non sempre, però, si ha accesso alle email in tal senso, in quanto sempre più spesso tutti noi tendiamo ad utilizzare i client Web di posta per leggere le email (banalmente: la maggior parte di chi utilizza una casella di posta Gmail fa affidamento sul lettore Web e non utilizza un software installato sul computer).
L’unica strada da poter percorrere, in questo caso, è la copia forense della casella di posta.
Per fare ciò, mi sono imbattuto nel software Forensic IMAP Downloader, un programma che permette il download di email da server IMAP a livello forense. L’applicazione è molto interessante in quanto permette di impostare una serie di filtri, visualizzando le relative cartelle in cui le email sono suddivise e scaricando così esclusivamente le comunicazioni di interesse. Inoltre, Forensic IMAP Downloader permette di effettuare download simultanei e di riprendere i download interrotti.
Al termine delle attività di download, il software genera inoltre in report contenente tutte le informazioni necessarie a dare validità legale alle operazioni effettuate.
Per informazioni, consulenze e preventivi
Per informazioni o Consulenze relative ai servizi di Informatica Forense e Perizie Informatiche, potete fare click sul bottone “Contattaci” per inviare una richiesta o contattarci telefonicamente.
