C.E.R.T.O.
C.E.R.T.O.
Collega un account cloud e repertizza i contenuti condivisi mantenendo metadati e struttura delle cartelle.
Il modulo Cloud di C.E.R.T.O. acquisisce in modo forense i file da Google Drive, Dropbox e OneDrive. I dati cloud vivono su server di terzi e nell'account dell'utente, e possono essere modificati o cancellati da remoto in qualsiasi momento: C.E.R.T.O. li cristallizza così com'erano, con accesso autenticato OAuth, riconciliazione dell'hash lato provider (prova di provenienza), analisi di condivisione e revisioni, e doppia marca RFC 3161. È lo strumento per CTU, CTP, periti, avvocati e forze dell'ordine che devono fissare il contenuto di un account cloud prima che cambi o sparisca.
I file su cloud non sono nelle tue mani: vivono su server di terzi e nell'account di qualcun altro, che può modificarli, condividerli o cancellarli da remoto in qualsiasi momento. Acquisirli forensicamente significa fissarli prima che cambino o spariscano.
Un documento, una foto o una cartella condivisa possono essere rimossi o alterati con un clic, anche dopo una controversia. L'acquisizione li cristallizza nello stato in cui si trovano, con data certa.
La riconciliazione dell'hash lato provider confronta l'impronta dichiarata dal cloud con quella ricalcolata sul file scaricato: dimostra che i byte acquisiti sono esattamente quelli conservati dal provider.
Quali file erano condivisi con terzi o pubblici tramite link: un elemento decisivo per valutare l'accesso, la diffusione e una possibile esfiltrazione di dati.
La cronologia delle versioni lato provider (chi ha modificato cosa e quando) e, dove possibile, i file nel cestino: tracce di attività ed elementi cancellati ma ancora recuperabili.
Oltre a scaricare i file, C.E.R.T.O. ne analizza automaticamente provenienza, esposizione, contenuto e versionamento, presentando i risultati nel report.
Confronto tra l'hash dichiarato dal cloud e quello locale: prova che i byte acquisiti coincidono con quelli del provider.
File con link pubblici o condivisi a terzi, per valutare accesso, diffusione e rischio di esfiltrazione.
Classificazione per tipo di contenuto e gruppi di file con lo stesso SHA-256 (stesso contenuto in percorsi diversi).
Confronto tra i magic-bytes reali e l'estensione dichiarata: tipo mascherato, contenitori cifrati, doppia estensione, eseguibili.
Per i file con più versioni lato provider: ogni revisione con data, autore e dimensione, per evidenziare modifiche e attività nel tempo.
I file nel cestino del provider al momento dell'acquisizione: metadati e, dove possibile, contenuto scaricato e sottoposto ad hashing nel fascicolo.
Una procedura ripetibile e documentata: dall'accesso autenticato al sigillo crittografico, ogni file scaricato lascia una traccia verificabile dentro il fascicolo.
Sincronizzazione NTP multi-sorgente con offset documentato: la finestra di acquisizione è ancorata.
Connessione al provider (Google Drive, Dropbox, OneDrive) tramite OAuth ufficiale: nessuna password memorizzata; provider, account e scope sono documentati.
Enumerazione della struttura dell'account (cartelle e file, con dimensioni e date), per costruire l'albero del cloud e la selezione.
Download via API dei file selezionati (o di tutto, opzionalmente anche del cestino), preservando la struttura delle cartelle.
Confronto dell'hash dichiarato dal provider con quello ricalcolato localmente, e calcolo di MD5/SHA-1/SHA-256/SHA-512 di ogni file.
Analisi automatica di condivisione/esposizione, categorie, duplicati, anomalie di contenuto, revisioni ed elementi eliminati.
manifest.json firmato Ed25519 + doppia marca RFC 3161, confezionamento in fascicolo BagIt 1.0 con descrizione CASE/UCO e verificatori verify.sh / verify.bat.
Ogni acquisizione produce un insieme coordinato di artefatti, ciascuno con un ruolo forense preciso, organizzati in cartelle dai nomi parlanti dentro data/.
La copia dei file scaricati dal cloud, con la struttura delle cartelle originale (e, opzionalmente, gli elementi del cestino): il media autoritativo del fascicolo.
evidence/files/ · evidence/deleted/
La mappa della struttura dell'account (cartelle, file, dimensioni, date): la fotografia dell'organizzazione del cloud al momento dell'acquisizione.
reports/cloud-tree.txt
Riconciliazione hash provider, condivisione/esposizione, categorie e duplicati, anomalie di contenuto, revisioni ed elementi eliminati.
reports/forensic-analysis.json
I dettagli dell'accesso (provider, account, scope OAuth, momento dell'autenticazione) e il log delle chiamate API effettuate durante l'acquisizione.
network/oauth-connection.txt · api-log.txt
La quaterna di hash (MD5/SHA-1/SHA-256/SHA-512) di ogni file e l'esito della riconciliazione con l'hash del provider.
hashes/file-hashes.json
Il rapporto in PDF e TXT (operatore, provider, account, conteggio file, dimensione, dichiarazioni forensi) con la propria marca temporale RFC 3161.
reports/report.pdf · report.tsr
Il fascicolo non richiede C.E.R.T.O. per essere validato: chiunque, anche fra anni, può verificarne l'autenticità con strumenti standard. La struttura BagIt 1.0 e il cruscotto interattivo lo rendono auto-esplicativo.
data/tsa.tsr e sigillo esterno su tagmanifest-sha256.txt.tsr. Cascata gratuita Sectigo→DigiCert→GlobalSign; InfoCert qualificata eIDAS opzionale.Acquisizione forense cloud, provider supportati, riconciliazione hash, file eliminati e verifica del fascicolo: le domande più comuni.
Registrati gratis e scarica C.E.R.T.O. Desktop per Windows e macOS dalla tua area riservata.