Certificazione dei registri del server

Perché i log del server richiedono certificazione forense

• I log vengono ruotati automaticamente dai provider (ogni 7-30 giorni tipicamente) e sovrascritti – senza certificazione tempestiva, le prove dell’attacco scompaiono definitivamente;
• File log scaricati senza procedura forense sono facilmente contestabili (“potrebbero essere stati modificati dopo il download”);
• Le dashboard dei provider mostrano solo aggregati (Cloudflare, AWS CloudFront) – i dettagli granulari (singole richieste, IP, User Agent) spariscono rapidamente;
• Senza timestamp qualificato e chain of custody, i log non hanno valore probatorio pieno in procedimenti legali;
• L’analisi forense professionale identifica pattern di attacco, IP attaccanti, sequenze temporali che un semplice download non evidenzia.

🌐 Log Server Web

• Apache HTTP Server: access.log, error.log, ssl_access.log, ssl_error.log
  
  • Formato: Common Log Format (CLF), Combined Log Format, custom format
  • Contiene: IP client, timestamp, metodo HTTP, URL richiesto, codice stato, User-Agent, Referer
• Nginx: access.log, error.log, nginx_error.log
  
  • Upstream logs (se proxy reverse)
  • SSL/TLS handshake logs
• Microsoft IIS: W3C Extended Log Format, NCSA Common Log Format, IIS Log Format
  
  • Log FTP se configurato
  • Failed Request Tracing logs
• LiteSpeed: access.log, error.log (formato compatibile Apache)

Utilità forense: Identificare IP attaccanti, SQL injection attempts, path traversal, brute force su login, web shell upload, bot scraping.

🗄️ Log Database

• MySQL/MariaDB:
  
  • General Query Log (tutte le query eseguite)
  • Slow Query Log (query lente sospette)
  • Error Log (errori connessione, syntax errors da injection)
  • Binary Log (replication log – utile per audit)
  • Audit Plugin logs (MariaDB Audit Plugin)
• PostgreSQL:
  
  • postgresql.log (query log se log_statement configurato)
  • pg_log (log connessioni, errori, query)
  • CSV log format per analisi strutturata
• MongoDB:
  
  • mongod.log (operazioni database)
  • Audit logs (MongoDB Enterprise)
  • Profiler data (operazioni lente)
• Microsoft SQL Server:
  
  • SQL Server Error Log
  • SQL Server Audit logs
  • Transaction Log (per recovery forensics)

Utilità forense: Tracciare accessi non autorizzati a dati sensibili, SQL injection riusciti, data exfiltration, tentativi privilege escalation.

🔥 Log Firewall e Sistemi di Sicurezza

• iptables/netfilter (Linux): log connessioni bloccate/accettate, port scan detection
• pfSense/OPNsense: firewall logs, IDS/IPS alerts (Suricata/Snort), VPN logs
• Cisco ASA/Firepower: connection logs, threat detection, access lists hits
• Fortinet FortiGate: traffic logs, threat logs, web filter logs
• Palo Alto Networks: traffic logs, threat logs, URL filtering, wildfire analysis
• Windows Firewall: Windows Firewall with Advanced Security logs
• UFW (Ubuntu): ufw.log con regole matched

Utilità forense: Documentare attacchi DDoS, port scanning, tentativi intrusione, traffico bloccato da/verso IP sospetti.

☁️ Log CDN, WAF e Cloud Provider

• Cloudflare:
  
  • HTTP Request Logs (Logpush/Logpull)
  • Firewall Events (WAF rules triggered, blocked requests)
  • Rate Limiting events
  • DDoS attack logs
  • Bot Management logs
• AWS CloudFront + WAF:
  
  • CloudFront access logs (S3 bucket)
  • AWS WAF logs (web ACL rules matched)
  • CloudWatch Logs Insights queries
• Akamai:
  
  • Access logs (DataStream)
  • Security events (Kona Site Defender)
  • Bot Manager logs
• Google Cloud CDN + Armor:
  
  • Cloud CDN logs (Cloud Logging)
  • Cloud Armor security policy logs
• Azure Front Door + WAF:
  
  • Access logs (Azure Monitor)
  • WAF logs (policy rules matched)

Utilità forense: Analizzare attacchi Layer 7 (HTTP flood), SQL injection blocked by WAF, geographic attack patterns, bot traffic.

🖥️ Log Sistema Operativo

• Linux:
  
  • /var/log/auth.log (Debian/Ubuntu): tentativi login SSH/sudo
  • /var/log/secure (RHEL/CentOS): autenticazione sistema
  • /var/log/syslog: messaggi sistema generali
  • /var/log/kern.log: kernel messages
  • /var/log/messages: system-wide messages
  • journalctl (systemd): unified logging
• Windows:
  
  • Security Event Log: login/logout, access control, privilege use
  • System Event Log: servizi, driver, errori sistema
  • Application Event Log: eventi applicazioni
  • PowerShell logs: script execution, command history

Utilità forense: Tracciare accessi SSH non autorizzati, privilege escalation, malware execution, lateral movement.

🔐 Log Accesso e Autenticazione

• SSH: /var/log/auth.log, sshd logs (tentativi brute force, login riusciti, IP sorgente)
• FTP/SFTP: vsftpd.log, proftpd.log (upload/download file, modifiche)
• Panel di controllo hosting:
  
  • cPanel access logs, error logs
  • Plesk panel.log, access_log
  • DirectAdmin logs
• VPN: OpenVPN logs, WireGuard logs, IPsec logs (connessioni, disconnessioni, IP client)
• RDP (Remote Desktop): Windows Security Log Event ID 4624/4625 (login success/failure)

Utilità forense: Identificare accessi amministrativi non autorizzati, credential stuffing attacks, brute force SSH.

📱 Log Applicazioni Web

• PHP error_log: errori applicazione, warnings, fatal errors
• WordPress:
  
  • debug.log (se WP_DEBUG attivo)
  • Plugin security logs (Wordfence, iThemes Security, All In One WP Security)
  • Activity logs plugins (WP Activity Log, Simple History)
• Node.js/Express: application logs (console.log, winston, bunyan)
• Python/Django: django.log, gunicorn access/error logs
• Java/Tomcat: catalina.out, localhost_access_log, application logs
• Ruby on Rails: production.log, development.log

Utilità forense: Tracciare errori applicativi sfruttati da attaccanti, injection attempts, malicious file uploads.

📊 SIEM e Aggregatori Log

• ELK Stack (Elasticsearch, Logstash, Kibana): export query results, saved searches, dashboards
• Splunk: search results export, notable events, dashboards
• Graylog: streams export, search results
• Wazuh: alerts, security events, file integrity monitoring
• OSSEC: HIDS alerts, rootcheck, syscheck logs

Utilità forense: Correlazione multi-sorgente eventi, timeline completa attacco, IOC (Indicators of Compromise) identification.

Richiedi un preventivo

Forniremo immediatamente la valutazione di fattibilità tecnica (tipologia log, volume, formato), la modalità di acquisizione (accesso controllato pannelli o elaborazione file esportati), i tempi di esecuzione e il preventivo economico dettagliato.

Richiedi preventivo

🎯 Identificazione Accessi Non Autorizzati

Analisi IP sorgente, pattern temporali, User-Agent anomali:

• IP Geolocation analysis: accessi da paesi non autorizzati (es. server EU accessato da Asia/Est Europa)
• Orari anomali: accessi amministrativi alle 3am quando staff normalmente offline
• User-Agent spoofing: script/bot mascherati da browser legittimi
• Impossible travel: stesso account accede da Milano ore 10:00 e da Lagos ore 10:05
• Login success dopo brute force: centinaia tentativi falliti poi successo con credenziali rubate

Output: Lista IP attaccanti con geolocation, timeline accessi, correlazione con credenziali compromesse.

🔓 Ricostruzione Sequenza Attacco

Timeline completa dalle prime ricognizioni all’exfiltrazione dati:

• Fase 1 – Reconnaissance: scansioni porte, enumerazione directory (tools: Nmap, dirb, nikto)
• Fase 2 – Initial Access: exploit vulnerability (SQL injection, file upload, RCE)
• Fase 3 – Persistence: installazione web shell, backdoor, scheduled task
• Fase 4 – Privilege Escalation: exploit kernel, sudo misconfiguration
• Fase 5 – Lateral Movement: accesso altri server rete interna
• Fase 6 – Data Exfiltration: download database, documenti sensibili
• Fase 7 – Cover Tracks: cancellazione log, timestamp manipulation

Output: Kill Chain completa con timestamp ogni fase, IP utilizzati, comandi eseguiti, file interessati.

💉 SQL Injection Detection

Identificazione tentativi e SQL injection riusciti nei log:

• Pattern matching: ricerca keyword SQL (UNION SELECT, OR 1=1, ‘ OR ‘1’=’1, etc.)
• URL encoding detection: %27, %20, %3D in parametri GET/POST
• Time-based blind SQLi: SLEEP(), WAITFOR DELAY pattern
• Error-based SQLi: risposte con MySQL/PostgreSQL error messages
• Database query logs correlation: confronto web logs con database query log

Output: Lista richieste sospette, payload injection utilizzati, dati eventualmente estratti.

🔨 Brute Force Attack Analysis

Documentazione tentativi massivi accesso:

• SSH brute force: migliaia tentativi login da IP singolo o botnet distribuita
• WordPress wp-login.php: tentativi enumerazione utenti e password guessing
• FTP brute force: scan credentials su porta 21
• RDP brute force: Event ID 4625 ripetuti Windows
• Credential stuffing: utilizzo credenziali rubate da altri breach

Output: Volumi tentativi, IP sorgenti (con ASN/ISP), username tentati, eventuali successi.

🌊 DDoS Pattern Recognition

Analisi attacchi volumetrici e applicativi:

• Layer 7 HTTP Flood: migliaia richieste GET/POST simultanee
• Slowloris attack: connessioni parziali che esauriscono risorse
• UDP Flood: traffico UDP massiccio (firewall logs)
• SYN Flood: half-open connections (netstat, firewall logs)
• Amplification attacks: DNS/NTP amplification pattern
• Botnet fingerprinting: identificazione botnet (Mirai, Emotet signature)

Output: Picchi traffico con timestamp, IP attaccanti, tipo attacco, volume bandwidth consumato.

🕵️ Insider Threat Investigation

Tracciamento attività sospette dipendenti/amministratori:

• Accessi fuori orario: admin connesso weekend/notte senza giustificazione
• Download massivi: backup non autorizzati database, file aziendali
• Privilege abuse: accesso dati non pertinenti al ruolo
• Data exfiltration: upload su cloud personali, trasferimenti FTP esterni
• Log tampering: tentativi cancellazione/modifica log

Output: Timeline attività sospette, file accessati/scaricati, correlazione con eventi HR (dimissioni, licenziamenti).

🔍 Data Breach Scope Assessment

Determinazione quali dati sono stati compromessi:

• Database query analysis: quali tabelle/colonne sono state interrogate dall’attaccante
• File access logs: documenti aperti/scaricati durante intrusione
• Outbound traffic: volume dati trasferiti verso IP esterni
• PII exposure calculation: quanti record con dati personali (nome, email, password hash) interessati
• GDPR breach notification requirement: valutazione se superata soglia notifica 72h

Output: Report dettagliato dati compromessi, numero record, necessità notifica GDPR/autorità.

🚨 Data Breach Aziendale

Scenario tipico: Server aziendale compromesso, database con dati clienti accessato da hacker, necessità ricostruire cosa è stato rubato per notifica GDPR e denuncia penale.

Cosa certifichiamo: Log Apache/Nginx con richieste SQL injection, log database MySQL con query eseguite dall’attaccante, auth.log SSH con accessi non autorizzati, timeline completa dall’initial access all’exfiltration, IP attaccanti con geolocation, volume dati estratti.

Finalità: Denuncia penale per accesso abusivo e furto dati, notifica GDPR al Garante Privacy entro 72h, comunicazione data subjects interessati, richiesta risarcimento assicurazione cyber.

💼 Sabotaggio da Ex Dipendente

Scenario tipico: Ex dipendente IT licenziato ha ancora accesso SSH/FTP al server, cancella file critici, database, backup per vendetta. Azienda scopre sabotaggio dopo giorni.

Cosa certifichiamo: auth.log con login SSH da IP ex dipendente dopo data licenziamento, FTP logs con eliminazioni massive file, database audit log con DROP TABLE commands, timeline azioni vs data licenziamento, correlazione IP con residenza ex dipendente.

Finalità: Denuncia penale per danneggiamento informatico (Art. 635-bis c.p.), richiesta risarcimento danni, procedimento disciplinare se ancora in preavviso.

🌐 Attacco DDoS Documentazione

Scenario tipico: E-commerce subisce attacco DDoS Layer 7 durante Black Friday, sito irraggiungibile per ore, perdita vendite stimata €50.000. Necessità dimostrare attacco per richiesta danni.

Cosa certifichiamo: Cloudflare Analytics con picchi traffico, Firewall Events log con milioni richieste bloccate, pattern attacco (HTTP flood su /checkout), IP botnet identificati (con ASN), durata downtime, confronto traffico normale vs attacco.

Finalità: Richiesta risarcimento a hosting provider se SLA violato, denuncia se identificato mandante, claim assicurazione business interruption.

🔐 Violazione GDPR – Accesso Non Autorizzato Dati Personali

Scenario tipico: Dipendente marketing accede senza autorizzazione a database HR con stipendi, dati sanitari colleghi. HR scopre dopo segnalazione, necessità audit GDPR.

Cosa certifichiamo: Database audit log PostgreSQL con query SELECT su tabelle HR da user non autorizzato, timestamp accessi, IP workstation dipendente, dati specifici visualizzati (colonne), frequenza accessi (mesi?), correlazione con ruolo aziendale (non pertinente).

Finalità: Procedimento disciplinare, notifica Garante Privacy se data breach, audit compliance GDPR Art. 32 (misure sicurezza).

⚖️ Perizia CTU Tribunale

Scenario tipico: Causa civile tra azienda A e B, contestazione su quando file contratto modificato su server condiviso. CTU nominato dal giudice richiede analisi forense log.

Cosa certifichiamo: Server web access log con timestamp accesso file contratto, FTP log con modifiche file, file system metadata (mtime, ctime, atime), User-Agent e IP chi ha modificato, confronto hash file versioni precedenti da backup.

Finalità: Perizia tecnica per CTU, determinazione chi e quando ha modificato file contestato, valore probatorio per giudizio.

🏥 Violazione Dati Sanitari (HIPAA/Healthcare)

Scenario tipico: Database ospedale con cartelle cliniche accessato da hacker, necessità determinare quali pazienti interessati per notifica obbligatoria.

Cosa certifichiamo: Database query log con SELECT su tabelle pazienti da IP non autorizzato, lista record (ID pazienti) estratti, timestamp accessi, metodo intrusione (SQL injection evidence nei web logs), volume dati compromessi.

Finalità: Notifica pazienti interessati, segnalazione autorità sanitarie, denuncia penale, audit compliance sicurezza dati sanitari.

🏦 Audit Conformità PCI DSS (Settore Pagamenti)

Scenario tipico: E-commerce che processa carte di credito deve dimostrare ad auditor PCI DSS che log vengono conservati e monitorati secondo standard (Requirement 10).

Cosa certifichiamo: Configurazione logging completa (web server, application, database, firewall), retention policy log (minimo 1 anno), log integrity monitoring (hash), accessi amministrativi tracciati, review log regolare documentata.

Finalità: Compliance PCI DSS Requirement 10, mantenimento certificazione payment processor, evitare sanzioni/revoca.

🇪🇺 GDPR – Regolamento (UE) 2016/679

Art. 32 – Sicurezza del trattamento: I titolari devono implementare misure tecniche e organizzative adeguate, inclusa la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi. Il logging e monitoring sono considerati misure essenziali.

Art. 33 – Notifica violazione dati personali: In caso di data breach, il titolare deve notificare l’autorità di controllo entro 72 ore. Per determinare la portata del breach è fondamentale l’analisi dei log: quali dati accessati, quanti record, quando.

Art. 5(1)(f) – Integrità e riservatezza: Obbligo trattare dati in modo da garantire adeguata sicurezza, compresa la protezione da trattamenti non autorizzati. I log sono lo strumento primario per rilevare accessi non autorizzati.

Linee guida EDPB: Il Comitato Europeo per la Protezione dei Dati raccomanda conservazione log per periodo adeguato (tipicamente 6-12 mesi) per permettere investigazioni su incidenti sicurezza.

🛡️ Direttiva NIS2 (UE) 2022/2555

La Direttiva NIS2 (Network and Information Security) impone obblighi stringenti di cybersecurity per entità essenziali e importanti.

Art. 21 – Obblighi di cybersicurezza: Le entità devono adottare misure tecniche per gestire incidenti, tra cui:

• Incident handling: capacità di rilevare, analizzare e rispondere agli incidenti;
• Business continuity: gestione crisi e disaster recovery;
• Sicurezza supply chain: monitoraggio fornitori;
• Log management: registrazione eventi sicurezza rilevanti.

Art. 23 – Notifica incidenti: Obbligo notifica incidenti significativi entro 24 ore (early warning) e 72 ore (incident report). Analisi log fondamentale per determinare se incidente è “significativo”.

Sanzioni: Fino a €10 milioni o 2% fatturato annuo mondiale (entità essenziali), fino a €7 milioni o 1,4% fatturato (entità importanti).

🔒 ISO/IEC 27001:2022 – Information Security Management

Annex A Control 8.15 – Logging: “Logs che registrano attività, eccezioni, errori ed eventi rilevanti per la sicurezza devono essere prodotti, conservati, protetti e analizzati.”

Requisiti specifici:

• Log devono includere: user ID, timestamp, tipo evento, esito (success/failure), sorgente evento
• Log devono essere protetti da alterazioni non autorizzate
• Retention period adeguato per investigazioni e compliance
• Review regolare log per identificare attività anomale

Audit ISO 27001: Durante audit di certificazione, auditor verificano sempre che logging sia implementato e funzionante. Certificazione log dimostra compliance.

📋 Standard tecnici internazionali

• ISO/IEC 27037:2012 – Linee guida identificazione, raccolta, acquisizione e preservazione prove digitali
• NIST SP 800-92 – Guide to Computer Security Log Management (gestione, analisi, retention log)
• RFC 5424 – Syslog Protocol (standard formato log)
• RFC 3161 e ETSI EN 319 422 – Standard marca temporale qualificata
• PCI DSS Requirement 10 – Track and monitor all access to network resources and cardholder data
• HIPAA Security Rule § 164.312(b) – Audit controls (healthcare USA)
• SOC 2 Type II – Logging and monitoring requirements per service organizations

Processo di certificazione

Modalità 1 – Elaborazione file log esportati dal cliente (consigliata):

1. Cliente esporta log: accesso ai propri pannelli/server, export log in formato nativo (.log, .txt, .csv, .json, .gz)
2. Trasferimento sicuro: upload via SFTP/portal sicuro nostro, oppure condivisione temporanea cloud crittografato
3. Ricezione e verifica integrità: calcolo hash SHA-256 file ricevuti, verifica formato e leggibilità
4. Acquisizione forense:
   
   • Copia bit-by-bit file originali
   • Calcolo hash SHA-256 per ogni file
   • Timestamp qualificato eIDAS su file originali
   • Creazione working copy per analisi (originali intoccati)
5. Parsing e normalizzazione:
   
   • Parsing log (formato Apache, Nginx, JSON, CSV, etc.)
   • Normalizzazione timestamp (conversione fusi orari → UTC)
   • Estrazione campi: IP, timestamp, User-Agent, URL, status code, etc.
   • Import in database forense per analisi
6. Analisi forense:
   
   • IP analysis: geolocation (MaxMind GeoIP2), WHOIS/ASN, reputation (AbuseIPDB)
   • Pattern detection: brute force, SQL injection, path traversal, bot traffic
   • Timeline reconstruction: sequenza eventi attacco
   • Anomaly detection: outlier statistici (spike traffico, orari inusuali)
   • Correlation: web logs + database logs + system logs
7. Report tecnico:
   
   • Executive summary
   • Metodologia analisi
   • Findings dettagliati con evidenze
   • Timeline grafica eventi
   • Lista IOC (IP attaccanti, User-Agent malicious, URL exploit)
   • Raccomandazioni remediation

Modalità 2 – Accesso controllato pannelli cliente:

Quando log non esportabili facilmente o cliente preferisce nostro accesso diretto:

1. Mandato digitale: cliente firma mandato che autorizza accesso read-only pannelli (cPanel, Plesk, Cloudflare, AWS Console)
2. Accesso VPN/IP whitelisting: connessione da IP fisso certificato, eventuale VPN cliente
3. Acquisizione diretta: screenshot certificati dashboard, export log da interfacce, API calls per Cloudflare/AWS
4. Screen recording (opzionale): registrazione video operazioni acquisizione per chain of custody
5. Logout e revoca: al termine, cliente revoca accessi temporanei

Richiedi un preventivo

Forniremo immediatamente la valutazione di fattibilità (tipologia log, volume, formato, obiettivi indagine), la modalità tecnica di acquisizione (file export vs accesso controllato), i tempi di esecuzione e il preventivo economico dettagliato. Intervento URGENTE 24-48h disponibile per casi critici con log a rischio cancellazione imminente.

Richiedi preventivo