Anti-Forensics: una sfida in continua evoluzione, cosimo de pinto cybercrime conference 2025

Anti-Forensics: una sfida in continua evoluzione

A cura di:Redazione Ore

Nell’ecosistema della sicurezza informatica emerge, con sempre maggiore evidenza, un fenomeno che sta mettendo a dura prova investigatori ed esperti di digital forensics.

Si tratta della cosiddetta anti-forensics: un insieme di metodologie, tecniche e strumenti specificamente progettati per ostacolare le indagini digitali, cancellare tracce e rendere virtualmente impossibile l’identificazione degli autori di reati.

Con il suo intervento alla 13ª Cyber Crime Conference, Cosimo de Pinto (informatico forense, socio IISFA e ONIF, certificato CIFI e Consulente tecnico presso il Tribunale di Roma) ha delineato un quadro dettagliato della situazione attuale, mettendo in luce le principali sfide che attendono i professionisti della sicurezza.

Il crescente ostacolo dell’anti-forensics nelle indagini digitali

Il relatore ha aperto la presentazione evidenziando come «gli strumenti e le tecniche di anti-forensics si stiano rivelando un ostacolo formidabile per la comunità forense digitale».

Lungi dall’essere un’esagerazione, si tratta di una constatazione supportata da dati concreti: secondo un recente sondaggio citato nell’intervento, ben il 67% degli attacchi informatici analizzati includeva tecniche anti-forensi, con un tasso di crescita raddoppiato nell’ultimo anno.

Tecniche Anti-Forensics: Evoluzione e Contromisure, Cosimo de Pinto alla Cyber Crime Conference 2025

«Mentre le tecniche forensi continuano ad evolversi», ha spiegato de Pinto, «gli strumenti anti-forensi sono diventati un arsenale strategico rilevante per praticare spionaggio industriale e sfuggire alle conseguenze legali, ma anche per motivi di cyberwarfare o di ricerca dell’anonimato».

Questa evoluzione non è casuale. Da un lato risponde, infatti, alla necessità dei criminali informatici di sfuggire a indagini forensi sempre più avanzate; dall’altro trova terreno fertile nell’esistenza di sistemi vulnerabili, trasmissioni di dati su linee non sicure o software obsoleti ancora molto diffusi.

Il fenomeno è reso ancora più preoccupante dalla scarsità di studi approfonditi sul tema.
«Se facessimo una ricerca utilizzando i termini “computer forensics” e “computer anti-forensics”, noteremmo una disparità significativa tra i lavori esistenti», ha osservato de Pinto, sottolineando come la maggior parte delle ricerche su tali tecniche riguardi le manipolazioni di immagini e video, trascurando altre aree cruciali per le investigazioni digitali.

Guarda il video dell’intervento completo di Cosimo de Pinto alla Cyber Crime Conference 2025:

Le molteplici facce dell’anti-forensics: dall’offuscamento all’anonimato

L’anti-forensics si manifesta attraverso due principali direttrici: l’offuscamento e l’anonimato.

Nel primo caso si ricorre a tecniche come la crittografia, la steganografia (che permette di nascondere informazioni all’interno di altre informazioni apparentemente innocue), la manipolazione dei sistemi e del codice: l’obiettivo è rendere invisibili o incomprensibili le tracce digitali, complicando enormemente il lavoro degli investigatori.

Sul piano dell’anonimato gli strumenti includono l’utilizzo di reti anonime come Tor, proxy che mascherano l’indirizzo IP dell’utente, crittografia delle comunicazioni, alias digitali e indirizzi email temporanei.

Tecniche Anti-Forensics, Cosimo de Pinto alla Cyber Crime Conference 2025

Tutte queste tecniche mirano a creare una disconnessione tra identità digitale e reale dell’attaccante, rendendo estremamente difficile risalire all’autore materiale di un crimine.

A rendere particolarmente insidiose queste tecniche è anche la loro crescente accessibilità: come ha sottolineato de Pinto, molti strumenti per la manipolazione di immagini e audio «sono accessibili anche a utenti con limitate conoscenze tecniche».

Di conseguenza, non è più necessario essere hacker esperti o possedere competenze avanzate di programmazione; chiunque, con un minimo di ricerca online, può accedere a strumenti che fino a poco tempo fa erano appannaggio esclusivo degli specialisti del settore.

Le tecniche avanzate: dalla manipolazione temporale all’esecuzione in memoria

Tra le tecniche più sofisticate di anti-forensics, la manipolazione temporale occupa un posto di rilievo.

Questa metodologia – che include il Time Stomping e Timestamp Spoofing – altera i metadati relativi alla cronologia di creazione, modifica e accesso ai file, rendendo estremamente arduo ricostruire la sequenza temporale degli eventi.

«I termini vengono utilizzati in modo intercambiabile, ma esistono differenze tecniche significative» ha precisato de Pinto. «Il Time Stomping è un sottoinsieme del Timestamp Spoofing che si concentra sulla manipolazione dell’orario di creazione o modifica dei file, mentre il Timestamp Spoofing include contesti esterni al file system come rete, blockchain o certificati digitali», complicando ulteriormente le attività investigative.

Un’altra tecnica insidiosa prevede l’esecuzione del codice malevolo senza lasciare tracce sul disco rigido: «gli attacchi In-Memory utilizzano la code injection per eseguire direttamente in memoria il codice malevolo, che viene riflesso nei processi legittimi lasciando un’impronta forense minima», ha spiegato l’esperto.

Questo approccio rappresenta una sfida formidabile per gli investigatori poiché le tradizionali tecniche di analisi forense, focalizzate sull’esame dei file presenti su un disco, risultano inefficaci di fronte a minacce che esistono esclusivamente nella memoria volatile di un sistema.

Il dominio delle tecniche anti-forensi: rete, immagini e audio

Le applicazioni delle tecniche di anti-forensics non si limitano a un singolo dominio, estendendosi trasversalmente a diverse tipologie di dati digitali.

Network Steganography - Anti-Forensics, Cosimo de Pinto alla Cyber Crime Conference 2025

A livello di rete la Network Steganography usa la protocol manipulation o il timing channel per nascondere o alterare il traffico, rendendo estremamente difficile tracciare le comunicazioni; la rilevazione di queste tecniche richiede «un’analisi statistica, l’identificazione di anomalie nei pattern di comunicazione, l’esame del contenuto e della struttura dei pacchetti», tramite l’utilizzo di strumenti specializzati.

Nel dominio delle immagini, strumenti di steganografia avanzata come OpenStego o Silenteye permettono di manipolare le immagini in modo da nascondere informazioni o alterare metadati cruciali; queste modifiche possono essere rilevate attraverso «strumenti in grado di riconoscere pattern sospetti all’interno dell’immagine, come StegDetect o FotoForensics».

Pur richiedendo maggiori competenze, nemmeno l’audio è immune da tecniche anti-forensi (oggi facilitate da strumenti quali Mp3Stego e DeepSound). Applicazioni come Adobe Audition, Audacity e SoundForge consentono infatti di modificare file audio in modi che possono compromettere la loro integrità come prove digitali.

La rilevazione di simili manipolazioni richiede «un’analisi spettrale, per ricercare discontinuità nell’audio; e un’analisi statistica per identificare distribuzioni insolite nei campioni».

Tuttavia – ha sottolineato de Pinto – queste tipologie di analisi «richiedono strumentazione professionale, competenze specifiche e un costante aggiornamento sia degli strumenti che degli operatori».

Crittografia avanzata: il baluardo dell’anti-forensics

Se esiste un settore dell’anti-forensics che rappresenta una sfida ardua per gli investigatori è senza dubbio la crittografia avanzata, definita «il problema più spinoso nell’ambito delle analisi forensi» dal relatore, il quale ha individuato tre principali varianti di questa tecnica.

crittografia avanzata - Anti-Forensics, Cosimo de Pinto alla Cyber Crime Conference 2025

La prima è la full disk encryption, che cripta l’intero contenuto di un disco rigido rendendo impossibile l’accesso ai dati senza la chiave di decrittazione: strumenti come VeraCrypt, BitLocker per Windows, FileVault per macOS e LUKS per Linux hanno reso questa tecnologia accessibile anche agli utenti meno esperti, diffondendola oltre la cerchia degli specialisti.

La seconda variante prevede l’utilizzo di chiavi effimere, che vengono rinnovate ogni 30 secondi e sono impiegate per cifrare temporaneamente i dati, offrendo «un certo regime di protezione completa dopo le compromissioni iniziali». Un approccio dinamico alla crittografia che complica notevolmente il lavoro degli investigatori; anche se riuscissero a ottenere una chiave, infatti, questa sarebbe valida solo per una minima frazione dei dati protetti.

Infine, la “crittografia compartimentale” rappresenta una strategia particolarmente sofisticata che suddivide il sistema in tanti compartimenti isolati, ognuno protetto da chiavi crittografiche indipendenti. Il vantaggio principale di questo approccio, come ha spiegato de Pinto, è «limitare l’esposizione dei dati in caso di violazione di una singola chiave, garantendo che solo una parte limitata delle informazioni venga compromessa».

Un esempio emblematico di queste tecniche sono i volumi nascosti creati con VeraCrypt, dove «vengono creati dei sistemi a doppio livello: c’è un volume “dummy” che viene presentato alle autorità e poi c’è un volume segreto dove ci sono i dati che l’autorità non deve ritrovare». Questa strategia rappresenta una sfida formidabile per le indagini forensi, poiché l’investigatore potrebbe non essere consapevole dell’esistenza di un secondo volume nascosto.

L’evoluzione storica: una corsa agli armamenti digitale

Negli ultimi anni l’evoluzione delle tecniche anti-forensi ha seguito una traiettoria di crescente sofisticazione, in quella che potrebbe essere definita una vera e propria corsa agli armamenti digitali.

De Pinto ha tracciato una cronologia di questa evoluzione, identificandone alcuni momenti chiave.

Timeline degli Eventi Chiave (2018-2023) - Anti-Forensics, Cosimo de Pinto alla Cyber Crime Conference 2025

Nel periodo 2018-2019 si è assistito alla diffusione di ransomware come Lockbit 3.0, che includono tecniche di offuscamento per rendere più ardua la loro individuazione sui dispositivi colpiti; nonché alla nascita di criptovalute progettate specificamente per garantire l’anonimato nelle transazioni. Queste innovazioni hanno ampliato significativamente le possibilità di condurre attività illecite senza lasciare tracce finanziarie o digitali.

Il 2020 ha visto il sofisticato attacco SolarWinds, un Advanced Persistent Threat (APT) che ha saputo eludere i sistemi di detection di numerose organizzazioni – incluse le agenzie governative statunitensi – mostrando il livello di raffinatezza raggiunto dalle tecniche anti-forensi, ora capaci di compromettere anche sistemi teoricamente ben protetti.

Nel 2021, l’attacco a Colonial Pipeline ha rivelato l’uso di tecniche avanzate che hanno complicato notevolmente l’analisi post-incidente e l’attribuzione dell’attacco: l’evento ha evidenziato come le tecniche anti-forensi non siano più limitate a operazioni di spionaggio o attività criminali di basso profilo ma siano ormai integrate nelle strategie dei gruppi cybercriminali più sofisticati. Nello stesso anno la vicenda dello spyware Pegasus ha rivelato l’uso di zero-day per iOS e Android con tecniche di offuscamento avanzate, tra cui la cancellazione dei log sui dispositivi colpiti.

Il biennio 2022-2023 ha visto l’emergere di nuove frontiere dell’anti-forensics, con la diffusione di steganografia ibrida e l’uso di deepfake generati con intelligenza artificiale. «L’incorporazione di algoritmi di AI ha portato a tecniche più adattive e difficili da rilevare», ha spiegato l’esperto, sottolineando come queste possano «modificare il proprio comportamento in base all’ambiente e alla risposta difensiva».

L’evoluzione osservata non mostra segni di rallentamento: al contrario la diffusione dei paradigmi Cloud e IoT, nonché l’integrazione di tecnologie emergenti come l’intelligenza artificiale, hanno reso le tecniche anti-forensi ancora più efficaci e insidiose.

Come ha sintetizzato il relatore, «l’evoluzione delle tecniche anti-forensi ha subito un’accelerazione significativa negli ultimi anni, dovuta all’accelerazione tecnologica generale e alla crescente sofisticazione degli attori delle minacce».

Le contromisure: un approccio integrato e multidisciplinare

Di fronte alla minaccia rappresentata dalle tecniche anti-forensi, è necessario adottare un approccio olistico e multidisciplinare. Al riguardo de Pinto ha proposto una strategia articolata in quattro fasi: detection, training, prevention e response.

La detection (o rilevamento) consiste nell’identificare la presenza di tecniche anti-forensi in un sistema compromesso mediante un’analisi approfondita dei metadati, della memoria volatile e delle possibili anomalie presenti nel sistema. «L’analisi della memoria volatile ancora oggi è un grosso problema», ha sottolineato l’esperto, «perché nell’ambito delle perquisizioni informatiche, quando si sequestrano i dispositivi senza aver fatto alcuna analisi preliminare, molti archivi cifrati che potrebbero essere decifrati con l’analisi della memoria non vengono più analizzati».

Questa lacuna operativa rappresenta un grave limite per le indagini digitali, che potrebbe essere colmato con procedure più rigorose e una formazione specifica.

Il training (o formazione) è considerato da de Pinto «forse la fase più importante, per formare il personale su tecniche anti-forensi emergenti, aspetto che non viene quasi mai adottato adeguatamente».

La rapidità con cui evolvono le tecniche anti-forensi richiede un costante aggiornamento delle competenze degli investigatori, che devono essere in grado di riconoscere e contrastare metodologie sempre nuove; ciò implica non solo una formazione iniziale, ma un processo continuo di apprendimento e specializzazione.

La prevention (o prevenzione) mira a implementare misure che rendano più difficile l’applicazione di tecniche anti-forensi. Tale obiettivo richiede l’adozione di sistemi di logging avanzati, la protezione della memoria volatile e l’esecuzione di controlli di integrità capaci di rilevare manipolazioni dei dati.

Infine, la response (o risposta) riguarda le azioni da intraprendere quando si rileva l’uso di tecniche anti-forensi; il che richiede procedure specializzate e l’impiego di tecniche forensi avanzate, capaci di superare gli ostacoli posti dalle tattiche anti-forensi.

Riguardo alle contromisure specifiche de Pinto ha evidenziato diverse strategie, tra cui l’analisi di timestamp multipli. «Ci sono dei timestamp, all’interno di un sistema operativo, che non sono modificabili così facilmente» ha spiegato. «Si potrebbe fare un confronto per verificare se tutti hanno una coerenza temporale». Questa tecnica consente di identificare incongruenze nella cronologia digitale, che potrebbero indicare manipolazioni dei metadati temporali.

Un’altra contromisura cruciale è l’analisi dei log, che sono «l’obiettivo primario dei criminali» proprio perché contengono informazioni critiche sulle attività di un sistema. La manipolazione dei log, che può includere «l’eliminazione selettiva di tracce, l’inserimento di dati fasulli o l’offuscamento di informazioni», può essere contrastata attraverso l’implementazione di sistemi di logging ridondanti e distribuiti, che rendono più difficile alterare tutte le copie dei dati di log.

Il ruolo del machine learning nella lotta all’anti-forensics

Un aspetto emergente e promettente nella lotta contro le tecniche anti-forensi è l’applicazione del machine learning (ML).

«L’applicazione del machine learning e delle intelligenze artificiali migliora l’analisi forense con risultati più accurati» ha affermato de Pinto, evidenziando come gli algoritmi di apprendimento automatico possano fornire «analisi più precise e complete rispetto ai metodi tradizionali».

machine learning e digital forensics - Anti-Forensics, Cosimo de Pinto alla Cyber Crime Conference 2025

I vantaggi dell’utilizzo del ML nella forensics digitale sono molteplici: secondo i dati presentati l’adozione di queste tecnologie consentirebbe una riduzione del 60% dei tempi di analisi, un aumento del 75% della precisione nell’identificazione delle prove e un miglioramento dell’82% dell’efficacia investigativa complessiva. Questi numeri suggeriscono un potenziale trasformativo per il settore, che potrebbe vedere un salto qualitativo nelle proprie capacità investigative grazie all’integrazione di algoritmi di intelligenza artificiale.

Il machine learning si rivela particolarmente efficace in aree come la classificazione dei dati, il riconoscimento di pattern complessi e l’analisi di grandi volumi di informazioni. Tali caratteristiche lo rendono ideale per affrontare le sfide poste dall’anti-forensics, che spesso sfrutta proprio la complessità e la mole dei dati digitali per nascondere le proprie tracce.

Tuttavia, l’adozione di queste tecnologie non è priva di sfide.

Come ha ricordato de Pinto, l’utilizzo efficace del machine learning richiede «un allenamento costante dei modelli», che devono essere continuamente aggiornati per rimanere al passo con l’evoluzione delle tecniche anti-forensi. Inoltre è necessario disporre di dataset di addestramento adeguati, che includano esempi rappresentativi delle tecniche da contrastare; la creazione e la manutenzione di questi dataset rappresenta un impegno significativo, che richiede risorse dedicate e competenze specialistiche.

Il futuro dell’anti-forensics: nuove sfide all’orizzonte

Guardando al futuro, de Pinto ha approfondito alcune aree che potrebbero rappresentare le prossime frontiere dell’anti-forensics.

Tra queste il cloud forensics occupa un posto di rilievo, con «dati distribuiti geograficamente e spesso soggetti a giurisdizioni multiple» che complicano notevolmente le indagini digitali. Gli attaccanti sfruttano proprio questa complessità per nascondere le proprie tracce, approfittando delle difficoltà legali e tecniche associate all’analisi di sistemi cloud.

Un’altra area di crescente preoccupazione riguarda i dispositivi Internet of Things (IoT), che «presentano protocolli poco conosciuti e poco documentati» tali da complicare le indagini forensi tradizionali. La proliferazione di questi dispositivi, spesso caratterizzati da scarsa sicurezza e limitata capacità di logging, offre nuove opportunità per l’applicazione di tecniche anti-forensi.

Ma la sfida più significativa all’orizzonte è probabilmente rappresentata dall’intelligenza artificiale. Come ha sottolineato de Pinto, l’IA sta già rivoluzionando il panorama dell’anti-forensics, rendendo possibili «video modificati con perturbazioni specifiche per ingannare i rilevatori automatici» e «malware adversarial creati per apparire innocui agli scanner antivirus». Queste applicazioni avanzate dell’IA rappresentano una minaccia formidabile per la sicurezza informatica e richiedono contromisure altrettanto sofisticate.

In questo contesto in rapida evoluzione, assume particolare rilevanza quello che de Pinto ha definito “un approccio realistico” alla forensics digitale. «Non trovare nulla all’interno dei dispositivi», ha osservato l’esperto, «può essere sicuramente un’evidenza di qualcosa».

In altri termini, «l’assenza di tracce digitali che normalmente un sistema produce è spesso indicativa dell’uso di tecniche anti-forensi».

Tale consapevolezza rappresenta un cambio di paradigma nell’approccio investigativo: non si tratta più solo di analizzare ciò che è presente ma anche di interpretare ciò che manca, cercando di cogliere i segnali di possibili attività anti-forensi.

Conclusioni: verso un nuovo paradigma della digital forensics

L’anti-forensics rappresenta una sfida in continua evoluzione per investigatori, professionisti della sicurezza informatica e autorità giudiziarie.

Nell’efficace sintesi del relatore, «l’analisi forense è divenuta ormai una fase sostanziale nei procedimenti legali, indispensabile nelle indagini digitali approfondite e rivolta alla ricerca della verità processuale». La centralità della digital forensics nei processi contemporanei rende ancora più critica la comprensione delle tecniche anti-forensi, così da consentirne un efficace contrasto.

Tale missione richiede un approccio che combini formazione continua, aggiornamento tecnologico, procedure operative rigorose e applicazione di tecnologie emergenti come l’intelligenza artificiale; l’integrazione di competenze, strumenti e metodologie è assolutamente necessaria per mantenere l’efficacia delle indagini digitali a fronte di minacce sempre più sofisticate.

Il futuro della digital forensics sai preannuncia complesso ma stimolante, con un continuo rincorrersi di tecniche offensive e difensive in quella che appare come una vera e propria “corsa agli armamenti digitale”. Una competizione in cui formazione e preparazione rappresenteranno fattori decisivi, capaci di fare la differenza tra il successo e il fallimento delle indagini informatiche.

Come ha sottolineato de Pinto nelle conclusioni, «l’anti-forensics è un campo in continua evoluzione che richiede un costante aggiornamento delle competenze e degli strumenti»: una consapevolezza che rappresenta il primo, fondamentale passo verso lo sviluppo di strategie efficaci per affrontare le sfide poste dalle tecniche anti-forensi, garantendo che il meccanismo della giustizia possa continuare a funzionare anche in un panorama tecnologico in costante evoluzione.

Condividi sui Social Network:

Ultimi Articoli

Cybercrime e hacker - autorità britanniche hanno arrestato quattro persone in relazione agli attacchi informatici

Cybercrime: nel Regno Unito arrestati presunti hacker, attacchi da 440 Milioni a M&S, Co-op e Harrods

A cura di:Redazione Ore Pubblicato il

La National Crime Agency (NCA) del Regno Unito ha annunciato il 10 luglio 2025 l’arresto di quattro persone in relazione a una serie di attacchi informatici su larga scala che hanno colpito i giganti del retail britannico Marks & Spencer (M&S), Co-op e Harrods all’inizio dell’anno. Gli individui, due uomini di 19 anni, un ragazzo…

'evoluzione tattica di Hunter International da ransomware tradizionale a data extortion stealth mode

La gang ransomware Hunter International: perché regalano le chiavi per decrittare

A cura di:Fabrizio Baiardi Ore Pubblicato il

Recenti notizie di threat intelligence[1] parlano di una interessante evoluzione del fenomeno del ransomware: le gang non sono più interessate a criptare le info ed addirittura regalano le chiavi per decrittare. Ricordando il ben noto, ed inutile, “Timeo danaos et dona ferentes” questo contributo vuole segnalare come questa sia, in fondo, una pessima notizia e…

Bitchat: la nuova applicazione di messaggistica decentralizzata di Jack Dorsey

Bitchat: la nuova applicazione di messaggistica decentralizzata di Jack Dorsey

A cura di:Redazione Ore Pubblicato il

Il presente articolo fornisce un’analisi tecnica approfondita di Bitchat, la nuova applicazione di messaggistica decentralizzata di Jack Dorsey, concentrandosi sulla sua architettura, sui meccanismi di protezione della privacy e sulle implicazioni per la cybersecurity. Vengono esaminati i principi operativi delle reti mesh Bluetooth Low Energy (BLE), i protocolli crittografici implementati e le funzionalità avanzate per…

operazione Microsoft-Europol 2025 che mostra lo smantellamento dell'infrastruttura criminale di Lumma Stealer infostealer

Lumma Stealer: Europol e Microsoft unite contro il cybercrime

A cura di:Luca Cadonici Ore Pubblicato il

Nel maggio 2025, Microsoft ed Europol hanno unito le forze in un’operazione internazionale volta a smantellare l’ecosistema criminale di Lumma Stealer – noto anche come LummaC2 – tra i più diffusi infostealer globali, con oltre 394.000 dispositivi Windows infettati tra marzo e maggio 2025. Il malware, in grado di esfiltrare credenziali, cookie, portafogli di criptovalute…

L'evoluzione dell'ecosistema Ransomware: la democratizzazione delle minacce informatiche. Matteo Carli, cybercrime conference

L’evoluzione dell’ecosistema Ransomware: la democratizzazione delle minacce informatiche

A cura di:Redazione Ore Pubblicato il

Il panorama delle minacce informatiche sta subendo una profonda trasformazione, come illustrato dall’analisi esposta da Matteo Carli (CTO di una società di cyber intelligence ed esperto di sicurezza informatica) durante la 13ª Cyber Crime Conference, l’ecosistema ransomware è in continua evoluzione. La presentazione ha rivelato come l’ecosistema dei ransomware stia attraversando un processo di democratizzazione…

Sicurezza IT e OT: criticità nella gestione degli accessi privilegiati e remoti. Cyber crime conference, Olivier Cavroy (Solutions Engineer di Wallix)

Sicurezza IT e OT: criticità nella gestione degli accessi privilegiati e remoti

A cura di:Redazione Ore Pubblicato il

Nel contesto della sicurezza informatica, gli accessi privilegiati rappresentano una vulnerabilità critica che le organizzazioni non possono permettersi di trascurare. Durante la 13ª Edizione della Cyber Crime Conference, Olivier Cavroy (Solutions Engineer di Wallix) ha offerto un’illuminante dissertazione su questa tematica, proponendo strategie innovative per mitigare rischi che potrebbero compromettere l’integrità di intere infrastrutture informatiche….