Il client per Desktop remoto incluso in Windows espone un'eccellente funzionalità per migliorare le performance: quando l'opzione Cache bitmap persistente è attiva, il programma salva su disco fisso del computer che stiamo fisicamente utilizzando alcune sezioni delle schermate remote ricevute, velocizzandone enormemente le visualizzazioni successive. Ma questa cache non viene eliminata automaticamente alla fine della sessione. Di conseguenza, utilizzando un semplice programmino gratuito, chiunque può vestire i panni di un investigatore forense e acquisire informazioni potenzialmente confidenziali
Il software si chiama BMC Viewer, ma il sito dell'azienda che l'ha realizzato è off-line da tempo: dovete quindi scaricarne una copia direttamente da TurboLab.it (il cui originale mi è stato fornito dall'utente jaclaz di forensicfocus.com, al quale va il mio ringraziamento).
Una volta aver scompattato e avviato l'eseguibile sul computer utilizzato per la connessione remota precedente, cliccate sul pulsante Sfoglia... in alto, quindi portatevi al percorso C:\Users\<nome utente>\AppData\Local\Microsoft\Terminal Server Client\Cache. Scegliete uno dei file da ispezionare e cliccate poi Load.
In caso l'immagine non si veda chiaramente, dovete far sì che il valore selezionato nel menu a tendina BPP sia pari al numero di colori utilizzati originariamente per la connessione. Generalmente sono 32 ma basta fare qualche prova (premendo Load ad ogni variazione) per indovinare quella corretta.
In caso abbiate bisogno di conservare quanto visualizzato, basta premere Save As... per esportare tutto quanto in una pratica immagine PNG:
L'immagine sarà molto lunga e, di conseguenza, scalata e illeggibile. Basta però utilizzare lo zoom per ingrandire la porzione desiderata
Questi file di cache sono completi e non dipendono dal sistema operativo: di conseguenza, i professionisti dell'analisi forense alla ricerca di prove giudiziarie possono copiarli ed analizzarli su un computer qualsiasi.
Come "difendersi"
Chi fosse preoccupato dal pesante rischio per la privacy evidenziato da questa procedura può tutelarsi in due modi.
Il più sicuro è quello di disattivare l'opzione Cache bitmap persistente prima di collegarsi in Desktop remoto da un secondo computer che potrebbe poi essere oggetto di analisi.
La seconda strada per difendersi è la cancellazione dei file presenti nella cartella in cui viene conservata la cache (C:\Users\<nome utente>\AppData\Local\Microsoft\Terminal Server Client\Cache). Ma, considerato che recuperare i file da un PC può essere molto semplice tramite uno strumento come Recuva, l'operazione deve essere completata tramite un software apposito per la cancellazione dati definitiva.
