Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.
Venerdì 3 luglio 2020 dalle ore 9 alle 18 si terrà online il seminario Lab4Int, quinta giornata del First Responder Course, su “DarkWeb Analysis”, con lo scopo di fornire agli operatori di FF.OO. e FF.AA. le basi investigative per eseguire analisi sulla rete Tor e sulle criptomonete, mediante tecniche di cryptocurrency forensics e intelligence.
La lezione che avrò il piacere di tenere, per questo seminario interforze, si svolgerà dalle 9 alle 11 e riguarderà le basi delle criptomonete, in particolare del bitcoin, con approfondimenti sulla bitcoin forensics e intelligence, le possibilità di tracciamento, clusterizzazione di wallet e indirizzi, deanonimizzazione e attività investigativa in ambito cryptocurrency. Verranno fatti alcuni cenni anche sulle possibilità di confisca e sequestro di bitcoin e altre criptomonete tra le più utilizzate, mostrando i limiti e le modalità tecniche con cui vengono eseguite le attività di sequestro delle criptomonete.
A segure, Daniele Pricchiazzi terrà alcune ore di lezione su Tor, il Dark Web, l’anonimato e la possibilità di eseguire ricerche e profilazione nella rete, presentando alcuni casi pratici, tecniche d’indagine e metodologie di tracciamento.
E’ stato pubblicato oggi su Youtube il video del mio workshop del 30 maggio per l’HackInBo Safe Edition, durante il quale ho mostrato come – in ambito di attacchi di tipo Business Email Compromise o Man in The Mail – possono avvenire delle manipolazioni con sostituzione degli allegati di posta tramite connessione IMAP, finalizzati a persuadere il destinatario a emettere bonifici su conti IBAN fraudolenti. Fortunatamente, tramite tecniche di email forensics e strumenti open source come Thunderbird (eventualmente con l’ausilio di alcuni plugin), Notepad++, Curl e una conoscenza specifica di alcuni aspetti del protocollo IMAP queste manipolazioni possono essere rilevate e identificate con precisione dal consulente informatico forense, al fine di produrre una perizia informatica sulle manipolazioni delle caselle di posta e sui messaggi di posta elettronica, anche PEC.
Nel video girato durante la giornata di HackInBo Safe Edition pubblicato su Youtube si può seguire in dettaglio l’ora di workshop e, volendo, anche riprodurne le attività tecniche simulando un’azione di di falsificazione di messaggi e allegati di posta con successiva perizia informatica di analisi forense tramite analisi del sorgente RFC 822, princìpi del protocollo IMAP e firme DKIM, predisponendo quanto segue:
Mozilla Thunderbird (client di posta elettronica, preferibile in versione portable);
DKIM Verifier (estensione per Thunderbird che permette di verificare firme DKIM);
Notepad++ (editor di testi versatile e open source)
CURL (strumento per scaricare risorse da diversi protocolli internet, incluso IMAP)
mpack/munpack (tool per estrarre o inserire manualmente allegati da un messaggio di posta elettronica)
openssl (software utile per convertire gli allegati ai messaggi di posta da e verso codifica base64)
un paio di account di posta elettronica che supportino il protocollo IMAP, come ad esempio GMail
Buona parte degli strumenti elencati sopra sono utilizzabili su distribuzioni Linux – come ad esempio Tsurugi Linux – ma anche su Windows (tramite binari compilati in Win32/64 oppure tramite WSL) o ancora su Mac OS (mediante homebrew/macports). Si consideri che le valutazioni esposte durante il workshop sono pienamente applicabili anche alla verifica di manipolazioni e originalità di messaggi di posta elettronica certificata PEC.
Il workshop si apre con un esempio di manipolazione e falsificazione di messaggi di posta elettronica, con il fine di cambiarne contenuti o sostituirne l’allegato. La particolarità è che l’alterazione fraudolenta non avviene soltanto su una copia sul PC del messaggio di posta, ma va a modificare il messaggio originale presente sul server di posta elettronica, in modo tale che anche accedendo alla webmail o scaricando la posta da un’altra postazione, si ottenga il messaggio manipolato e non più quello originale. Questo è, tra l’altro, esattamente ciò che avviene durante alcuni tipi di attacco Man in The Mail o Business Email Compromise (MiTM/BEC) durante il quale la vittima non si accorge che l’allegato su cui è indicato l’IBAN del conto bancario verso cui disporre il bonifico di pagamento della fattura del fornitore è stato modificato.
La manipolazione dell’email o PEC avviene in modo piuttosto semplice: si salva il messaggio in locale tramite la funzione di “Salva come…” di Thunderbird che permette di salvare il messaggio di posta elettronica in formato EML, che poi non è altro che un file di testo. Per fare una manipolazione del testo di un messaggio di posta elettronica o alterare in maniera fraudolenta elementi come data, ora, mittente, destinatario, oggetto, etc… è sufficiente aprire il file con un editor come Notepad++ e cambiare le parti che si desidera alterare, salvando successivamente il file. Aprendo il file EML su Thunderbird (è sufficiente cliccare due volte sul nome del file) si nota già che le alterazioni sono state applicate, ovviamente soltanto in locale sul PC e non sul server.
È leggermente più complicato fare una modifica fraudolenta all’allegato di un messaggio di posta elettronica, perché è necessario identificare il punto del file EML in cui si trova (è sufficiente aprire il file con un editor) e sostituirlo con il nuovo allegato, codificato in base64. La codifica del nuovo allegato (quello che, nel caso di attacchi BEC, contiene l’IBAN del conto bancario dei criminali) si può fare sia tramite comando openssl, sia creando una nuova mail con il comando mpack e copiando poi soltanto la parte con l’allegato nel messaggio di posta che vogliamo manipolare. Per sostituire un allegato/attachment di posta elettronica il criminale può quindi quindi procedere come segue, tramite il comando openssl che converte in base64 il nuovo PDF oppure tramite il tool mpack che crea un nuovo messaggio di posta dentro il quale viene allegato il PDF fraudolento, che poi si andrà a copiare e incollare nel nuovo messaggio EML.
Una volta ottenuto il messaggio con testo e/o allegato manipolato, il passo successivo che fanno i delinquenti è quello di riposizionare il nuovo messaggio sul server di posta eliminando quello originale, in modo chi dovesse scaricare l’email o accedere alla casella di posta non si accorga di nulla. Questa operazione è fattibile, sempre con Thunderbird, con un passaggio strategico che consiste nel cancellare il messaggio originale, aprire il messaggio fraudolento presente sul PC e posizionarsi sul menù di Thunderbird alla voce “Messaggio -> Copia in -> [account di posta configurato in IMAP] -> Posta in arrivo“. In questo modo, il messaggio di posta manipolato andrà a sostituire quello originale anche da parte di chi accede via webmail, perché la modifica è avvenuta sul server. La cosa rilevante è che il caricamento di un messaggio di posta sul server può essere fatto sia nella Inbox, contenente la Posta in Arrivo, ma anche nella Outbox, cioè nella cartella della Posta Inviata.
Alterazione e manipolazione di email su server IMAP
Un malintenzionato può quindi sostituire il contenuto di un messaggio o del suo allegato sia nella posta inviata sia in quella ricevuta, ma allo stesso modo può creare un messaggio e posizionarlo in posta inviata anche se tale email non è mai esistita, allo stesso modo in cui può creare una mail e posizionarla in posta ricevuta quando in realtà non è mai stata ricevuta. Da un’analisi della casella di posta, entrambi i messaggi sembrerebbero del tutto originali e integri, in particolare se il malintenzionato facesse attenzione a utilizzare header RFC822 coerenti (prendendoli, ad esempio, da messaggi realmente esistenti e se possibile inviati o ricevuti dallo stesso soggetto dell’email manipolata).
Si noti che in alcuni casi, la cancellazione via client di posta non è effettiva ma tiene in cache la mail che può poi essere ripristinata dalla mailbox anche se ne andiamo a ricaricare una leggermente diversa: si consiglia quindi di eliminare il messaggio tramite webmail oppure accertarsi che la cancellazione via IMAP abbia avuto effetto. Nel video si vede che dopo la cancellazione via IMAP e il caricamento del messaggio di posta manipolato, tramite la webmail viene mostrato ancora il vecchio messaggio originale, che invece viene sostituito da quello nuovo se la cancellazione avviene direttamente all’interno della webmail.
Questa sostituzione chiaramente si può applicare anche a messaggi di posta inviati, alterandone quindi il destinatario, contenuto, allegati, oggetto e facendo credere a chi dovesse accedere alla mailbox sul server che la mail sia originale e così sia stata inviata.
Importante sottolineare che, dal punto di vista del sorgente RFC822, cioè della costruzione del messaggio in termini d’intestazione (header), corpo (body) e allegati (attachment) una email così manipolata non è facilmente distinguibile ad una originale anzi, spesso non presenta differenze rispetto a una mail originale e quindi una perizia informatica potrebbe attestare la validità del messaggio quando in realtà si tratta di un’email falsificata e manipolata.
A questo punto, entra in gioco il consulente informatico forense, che viene chiamato per redigere una perizia informatica a seguito di analisi tecnica della mailbox, così da accertare la presenza di manipolazioni o alterazioni o, al contrario, l’integrità e originalità del messaggio di posta elettronica. La seconda fase del video è proprio relativa all’attività di verifica delle manipolazioni dei messaggi di posta elettronica ordinaria (PEO) tramite l’utilizzo di strumentazione open source e metodologie basate sui princìpi del protocollo IMAP.
Fortunatamente, le manipolazioni ai messaggi di posta elettronica possono non lasciare tracce a livello RFC822 ma ne lasciano quasi sempre a livello di metadati IMAP, permettendo quindi al perito informatico di analizzare diversi elementi per accertare l’integrità o meno della corrispondenza, sia essa via posta elettronica tradizionale o PEC, redigendo una perizia informatica forense di acquisizione forense e analisi investigativa.
Innanzitutto, una verifica che il consulente informatico forense può fare durante la sua indagine digitale è quella di accertare l’integrità della firma DKIM, che viene apposta in automatico ad esempio da parte della casella di posta Gmail. La verifica della firma DKIM si può fare sia sulla webmail (ad es. Gmail mostra il messaggio “firmato da: gmail.com” per i messaggi la cui firma viene verificata) oppure tramite plugin come DKIM Verifier, che aggiungono una riga alle instestazioni della mail che si vedono a schermo che riporta se la firma è valida oppure invalida, precisando in tal caso che “la mail è stata modificata”. Questa verifica ovviamente è fattibile nei casi in cui il server del mittente appone firma DKIM ai messaggi di posta uscenti.
Passando invece al protocollo IMAP, le verifiche che possiamo fare sono almeno due. Il primo è il controllo del campo “ordine ricezione” (“order received”) della mail oggetto di verifica confrontando il numero con il messaggio prima e quello dopo. Tale campo – non presente nel messaggio che viene scaricato in formato RFC822 EML o MSG – viene comunicato dal protocollo IMAP quando il client accede al messaggio ed è un numero ordinale che viene attribuito dal server a ogni messaggio, in genere univoco per cartella. La inbox avrà così un messaggio con Order Received (talvolta definito anche IMAP UID) 341, il messaggio successivo sarà 342, poi 343, 344 e così via. Se il messaggio con UID 342 a un certo punto viene alterato, cambia il codice e ne assume uno nuovo “saltando” quindi in avanti e superando quelli arrivati dopo di lui. Un’analisi della linearità dei numeri IMAP UID quindi permette già in diversi casi di rilevare una modifica postuma a un messaggio, fatta anche a livello server tramite caricamento dei file via IMAP.
Ulteriore controllo che l’informatico forense può fare, avendo accesso al server, è quello della verifica dell’integrità del campo INTERNAL DATE, che contiene la data marchiata dal server nel momento in cui il messaggio di posta oggetto di analisi è stato inviato o ricevuto dal server, in sostanza quando è stato salvato su disco. Anche in questo caso, se un messaggio del 30 maggio viene modificato il 3 giugno, il suo INTERNAL DATE passerà al 3 giugno, cosa che non ha senso se la data d’invio o ricezione della mail rimane 30 maggio.
L’accesso al dato INTERNALDATE è più complicato perché Thunderbird non lo mostra, per quanto ci siano dei plugin che sembrano poterlo fare ma non funzionano correttamente. Bisogna quindi ricorrere a soluzioni open source o a prodotti commerciali come FEC (Forensic Email Collector), SecurCube Downloader, F-Response o simili.
Avendo a disposizione software open source, possiamo sviluppare qualche linea di codice in python che vada a utilizzare la libreria imaplib chiamando il comando “fetch(message, ‘(INTERNALDATE)’” oppure più semplicemente sfruttare la potenzialità del comando cURL, utilizzato in genere per scaricare pagine web o file da Internet.
Con gli opportuni parametri, il comando cURL può essere utilizzato per accedere tramite protocollo IMAP o IMAPS a server di posta elettronica e scaricare messaggi di posta, intere mailbox o più semplicemente i metadati IMAP che altrimenti sarebbe difficile ottenere. Con una sola riga, riusciamo quindi a ottenere diversi parametri legati a tutte le email presenti nella Inbox della casella di posta [email protected], utilizzata per i test durante il workshop.
Lanciando questo comando in pochi decimi di secondo si ottengono i metadati IMAP InternalDate, UID (order received) oltre ai FLAGS come “Seen” (che indica se un messaggio di posta è stato letto oppure no), se è JUNK (marchiato come “spam”), data d’invio scritta nell’ENVELOPE (quindi impostata dal client) e altri parametri utili per l’analisi. In questo caso, è strategico verificare se il campo Internal Date è coerente con la data d’invio oppure se di discosta di molto, incrociando eventuali anomalie con il raffronto degli UID (o “order received”).
Il comando cURL può essere personalizzato con diversi parametri, ad esempio è possibile estrarre il solo campo IMAP InternalDate dal messaggio con UID 9 nella mailbox “safedition” della casella Gmail nel folder INBOX, con password “password123” (se viene omessa la password da linea di comando, viene chiesta in tempo reale durante l’avvio del tool).
Una volta raccolti tutti questi dati, esaminato il file RFC822, valutate l’ordine dei messaggi “ORDER RECEIVED” o IMAP UID, verificate le date INTERNALDATE, verificata la firma DKIM, etc… il consulente informatico forense potrà valutare l’integrità delle mail, l’assenza o presenza di manipolazioni, eventuali anomalie nelle mailbox e nei messsaggi di posta elettronica.
Ricordiamo, a completamento dell’articolo, che i provider di posta elettronica sono in grado di fornire – su richiesta da parte dell’Autorità Giudiziaria e raramente da parte dei Legali – ulteriori dati a supporto delle indagini informatiche forensi. Ad esempio, i provider mantengono per un anno di tempo i log di utilizzo della casella di posta elettronica , memorizzando i metadati (non ovviamente i contenuti) dei messaggi inviati e ricevuti, cioè mittente, destinatario, data d’invio/ricezione, oggetto, dimensione messaggio talvolta integrati con ulteriori elementi come server SMTP utilizzato, IP di provenienza o altri dati tecnici.
Per quanto riguarda invece le attività dell’utente sulla casella di posta – utili spesso per rilevare accessi non autorizzati, manipolazioni ai messaggi, apertura di email, cancellazione e rimozione di mail, modifica di allegati altre attività non autorizzate è disponibile presso buona parte dei provider una sezione di storico degli accessi, che permette di visionare i dettagli degli ultimi accessi, in termini di numero di accessi o di giorni/settimane/mesi di storico. Tali dettagli spesso arrivano anche a informazioni tecniche sui browser utilizzati, gli indirizzi IP e il tipo di operazione eseguito dall’utente (es. cambio password, aggiunta numero di telefono di sicurezza, etc…).
Con maggiore difficoltà è possibile anche ottenere dal provider (se ne mantiene copia e se la fornisce al proprietario, al suo legale o soltanto all’Autorità Giudiziaria) anche lo storico delle attività eseguite tramite webmail, IMAP o POP, potendo così ricostruire attività di accesso e operazioni di falsificaizione, manipolazione, aggiunta o cancellazione eseguite sulle singole email da interfaccia web o tramite i protocolli IMAP o POP.
Martedì è andato in onda un nuovo servizio TV de Le Iene dove ho dato il mio piccolo contributo per illustrare alcune problematiche di sicurezza degli assistenti vocali e dei sistemi di comando tramite voce delle App su smartphone e su piattaforme come Amazon con Alexa, Apple con Siri o Google con Home e Assistant.
Nicolò De Devitiis e Marco Fubini ci mostrano nel servizio de Le Iene, con filmati e interviste, come ormai gli assistenti vocali possono gestire buona parte della nostra vita, in casa ma anche sul nostro Smartphone. Possono indirizzarci verso acquisti legati alla piattaforma che stiamo utilizzando e guidarci nelle scelte in base, ovviamente, a criteri di mercato che portano a prediligere ciò che per il produttore del dispositivo è più conveniente. Questo sia che si tratti di Alexa con Amazon, sia degli assistenti vocali di Google e Apple.
Nel servizio “Assistenti vocali e privacy: siamo certi di essere al sicuro?” de Le Iene si parla anche di sicurezza e privacy, per il fatto che senza un adeguato controllo, si corre il rischio che le App su smartphone e sugli assistenti vocali “ascoltino” anche quando non devono, riuscendo quindi a rilevare quando siamo in casa o cosa stiamo dicendo e facendo.
Chiunque può verificare, ad esempio, ciò che Google ha tracciato accedendo alla pagina My Activity e osservando come ogni ricerca, ogni App utilizzata, ogni dispositivo utilizzato viene quotidianamente tracciato e archiviato. Filtrando poi per “Assistente” e “Voce e Audio” è possibile ottenere l’elenco delle registrazioni audio fatte dagli Assistenti Google e dalle App completo di file sonoro da asoltare e persino traduzione del testo che è stato pronunciato.
L’aspetto rilevante è che in diversi casi le registrazioni riguardano momenti nei quali la dettatura non era stata richiesta, l’assistente cioè si è autonomamente attivato e ha ascoltato, registrato e trascritto. Nulla di grave, i file audio si possono rimuovere così le trascrizioni, rimane però il fatto che spesso l’utente non è consapevole delle attività automatiche di questi assistenti – su smartphone o assistenti vocali come Home o Alexa – che possono “ascoltare” e registrare anche quando l’utente non se lo aspetta, tranne ovviamente quando sono stati disabilitati.
Altri aspetti da tenere in considerazione oltre alla sicurezza sono, ad esempio, il tracciamento dello storico dei movimenti, che Google memorizza nella sua Location History dove troviamo giorno per giorno le posizioni ricavate tramite GPS, WiFi e celle telefoniche da Google per il tracciamento dei nostri movimenti. Ovviamente questa funzionalità deve essere abilitata ma capita molto spesso che gli utenti la ritrovino operativa senza averla esplicitamente attivata: è sufficiente, tra l’altro, visitare il link riportato qui sopra per verificarne l’operatività sul proprio account Google.
In ambito di perizie informatiche ove vi sia necessità di ricostruire le posizioni di un soggetto nel tempo, può rivelarsi strategica questa funzionalità, che ovviamente richiede l’utilizzo di uno smartphone da parte del soggetto ma che molto spessi si dimostra essere attiva e piuttosto precisa.
E’ cominciata la pubblicazione dei dettagli dei laboratori che si terranno sabato 30 maggio 2020 nell’ambito dell’evento HackInBo Safe Edition 2020, così da permettere ai partecipanti – che dalle iscrizioni su Linkedin risultano già oltre un migliaio – di prepararsi scaricando in anticipo eventuali contenuti, materiale, software utile per il workshop.
I dettagli dei workshop saranno pubblicati man mano sui canali ufficiali HackInBo e, di volta involta, verranno aggiunti al presente post per poter raccogliere comodamente in un’unica area tutti gli interventi, i link ai download per i lab, e il programma completo della giornata.
Ricordiamo che la giornata di formazione gratuita sarà trasmessa in live sul Canale Ufficiale Youtube di HackInBo e su eventuali altri social network che verranno pubblicati a breve.
Inizio streaming YouTube – Mario Anglani & Davide “DANTE” Del Vecchio (9:25)
Andrea Draghetti – Phishing (09:30 – 10:30)
Descrizione: Creiamo assieme una campagna di phishing finalizzata a carpire credenziali o a divulgare file malevoli. Sfrutteremo diverse tecniche utili ad evadere le blocklist di Safe Browsing o le regole di filtraggio dei filtri anti-spam.
Paolo Dal Checco – Email forensics (10:30 – 11:30)
Descrizione: La demo consisterà nel manipolare e falsificare alcuni messaggi di posta elettronica con il fine di cambiarne contenuti, data e persino allegati, non soltanto in locale ma anche direttamente sul server, creando mail verosimili ma mai ricevute né inviate o, ancora, ricevute e inviate ma con contenuti diversi, esattamente come avviene durante alcuni tipi di attacco Man in The Mail / Business Email Compromise finalizzati a deviare bonifici in modo fraudolento. Al termine della demo, scopriremo però come le manipolazioni ai messaggi di posta elettronica possono non lasciare tracce a livello RFC822 ma ne lasciano quasi sempre a livello di metadati IMAP, permettendo quindi al consulente informatico forense di rilevare in modo puntuale l’alterazione e la falsificazione delle mail. In sostanza, l’attività che verrà presentata nel workshop sulla falsificazione e il rilevamento delle manipolazioni delle mail sarà quella che il consulente tecnico e l’investigatore digitale svolgono quando lavorano su incarichi di perizia informatica su messaggi di posta elettronica e PEC nei quali viene richiesta la verifica dell’integrità e originalità dei messaggi oltre alla sempre doverosa copia forense delle caselle di posta o delle email che devono essere oggetto di analisi forense.
Cosa serve: Un client di posta Thunderbird, se possibile portable così da non richiedere installazione, un editor di testi (es. Notepad++) e una casella email (es. Gmail) che supporti accesso IMAP sulla quale fare i test di manipolazione messaggi di posta elettronica e rilevamento tracce di alterazione.
Difficoltà: medium
Paolo Perego – x86 Shellcoding Cakestar – Exploit Development Basics – Sviluppo di uno shellcode per customizzare i nostri exploit (11:30 – 12:30)
Descrizione: A volte, durante un penetration, devi customizzare il payload del tuo exploit per evitare l’antivirus installato sul server o l’IDS o semplicemente perché vuoi divertirti un po’ avendo il pieno controllo del codice che vuoi far eseguire al tuo exploit. Durante questo talk creeremo qualche semplice shellcode per Linux su architettura x86 e aggiungeremo un po’ di offuscamento, di egg hunting e di polimorfismo per far evolvere il nostro payload.
Cosa serve: Una VM Linux, un editor di testo, nasm, ld, gdb (peda nel caso). I partecipanti devono avere un minimo di conoscenze su registri x86 e sapere qualcosa di assembly. Il talk sarà veramente basic e molto introduttivo.
Difficoltà: easy
Antonio Parata – Analisi di un binario estratto da un Incident Response (12:30 – 13:30)
Descrizione: La demo avrà’ come scenario l’analisi di un binario che e’ stato identificato come sospetto durante un Incident Response. Lo scopo e’ quello di effettuare il reverse engineering del binario al fine di classificarlo e di estrarne i relativi IOCs e TTPs. Al fine di poter seguire la demo, i partecipanti dovranno effettuare il download degli strumenti utilizzati per effettuare l’analisi. Sara’ inoltre necessario disporre di un software di virtualizzazione, per poter eseguire eventuale codice malevolo.
Cosa serve: La demo ha un taglio tecnico, e’ quindi richiesto che i partecipanti conoscano i concetti base di come effettuare il debug di un programma o di analizzare il codice di un file binario. Una breve introduzione verrà’ comunque effettuata all’inizio della demo.
Alessandro Di Carlo – Scenari reali di DFIR: Tips&Tricks per una corretta analisi (13:30 – 14:30)
Cosa serve: Verranno resi disponibili alcuni scenari di compromissione sotto forma di copia forense (raw, E01). Al fine di portare a termine in modo corretto l’investigazione, si consiglia di scaricare ed installare il seguente materiale.
Materiale:
VMware (qualsiasi versione)
Zimmermann tools (https://lnkd.in/eCwhuJe)
Autopsy 4.15 (https://lnkd.in/fzGpgsd)
FTK Imager v.4.3.0 (https://lnkd.in/ewMB_zV)”
Difficoltà: medium
Mattia Epifani – iOS Forensics a costo zero (14:30 – 15:30)
Descrizione: L’obiettivo della demo è di illustrare l’utilizzo del jailbreak checkra1n su un dispositivo iOS o script ios_bfu_triage per acquisire il contenuto dello stesso, ottenendo un file TAR che può essere poi analizzato con diversi strumenti forensi, anche gratuiti. La seconda parte della demo sarà pratica, basata su una immagine di iOS 13 che sarà analizzata con strumenti OpenSource.
Cosa serve: Seguire le istruzioni disponibili a questo link su GitHub: https://github.com/mattiaepi/HackInBoSafeEdition2020/blob/master/README.md.
Difficoltà: medium
Igor Falcomatà & Gianfranco Ciotti – Come aggirare i sistemi a doppia autenticazione (phishing-ng) (15:30 – 16:30)
Descrizione: L’autenticazione a due o più fattori è considerato uno degli strumenti di protezione tra i più sicuri per proteggere l’accesso ai dati e alle applicazioni, soprattutto quelli relativi ai servizi di home banking. Il tentativo di mettere un freno alle sempre più crescenti frodi online attraverso questi strumenti è veramente efficace? Per dare una risposta a questa domanda il metodo migliore è toccarlo con mano: proviamo insieme a bypassare 2FA.
Cosa serve: Al fine di poter seguire la demo è necessario avere a disposizione una qualsiasi installazione di Golang, openssl e un qualsiasi editor di testo.
Difficoltà: easy
Tsurugi Linux: Davide Gabrini, Marco Giorgi, Giovanni Rattaro e Massimiliano Dal Cero” – InvestigazIoni #DFIR e #OSINT con il progetto #Tsurugi #Linux (16:30 – 17:30)
Descrizione: Durante la sessione demo verranno mostrati diversi tipi d’investigazioni utilizzando svariati tool e abbordando diversi argomenti.
Il team Tsurugi ha pubblicato la versione 2020.5 del 21 maggio 2020 del toolkit per DFIR “Bento”, ormai parte fondamentale della suite di security, malware analysis e digital forensics Tsurugi Linux.
La raccolta di strumenti per la digital forensics e incident response viene distribuita per il download in un archivio 7z “bento_2020.5.7z” pubblicato su diversi link ospitati nei vari mirror Tsurugi.
Bento è un insieme di software per portabili (che quindi non richiedono installazione) principalmente per Windows ma con alcuni strumenti anche per Linux e Mac OS, raccolti e finalizzati a un uso in ambito digital forensics e incident response in modalità live, cioè con il sistema operativo Windows, Mac OS o Linux avviato.
Durante le indagini digitali preliminari sulla scena del crimine, Bento permette a coloro che intervengono per primi di gestire in modo veloce e sicuro le principali attività di risposta all’incidente informatico, come identificazione, triage, preview, estrazione, raccolta delle informazioni, acquisizione e conservazione delle evidenze digitali.
Importante distinguere Bento dalla distribuzione forense Tsurugi Linux perché Bento è destinato a un utilizzo “a caldo” sul sistema, cioè con il sistema avviato e quindi in attività d’incident response, per procedure di triage, preview, preanalisi, analisi sul campo e acquisizione preliminare di prove informatiche. Tsurugi Linux è una distribuzione forense che permette invece l’avvio in live su un PC senza che questo esegua il sistema operativo su di esso installato, non andando quindi in alcun modo ad alterare il contenuto di eventuali dischi collegati al sistema e permettendo di fare copie forensi dei dati e dei dispositivi senza alterarne il contenuto. L’utilizzo di Bento in attività di Digital Response e Digital Forensics in ambito di perizia informatica forense va sempre quindi pesato in base alla necessità di preservare o meno prove digitali e all’esigenza temporale di ottenere dati per un triage veloce e immediato sul campo.
Si ricorda che alcuni software presenti nella collezione Bento per Digital Forensics e Incident Reponse possono essere identificati dagli antivirus come malevoli, in realtà sono strumenti d’informatica forense, pentest, hacking, password recovery o simili che diversi produttori di antimalware considerano dannosi o potenzialmente pericolosi ma sono ampiamente utilizzati in ambito di computer e network security.
Alcuni software, per quanto gratuiti e scaricabili pubblicamente dai siti dei produttori, non possono essere distribuiti all’interno della raccolta Bento, vengono perciò incluse nell’archivio 7Z alcune procedure che permettono di scaricare in modo veloce e integrare nella suite gli strumenti che non sono stati inseriti.
