Archivi autore: Paolo Dal Checco

Informazioni su Paolo Dal Checco

Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.

Download di Deft XVA Linux per Informatica Forense

DEFT XVA Virtual Machine disponibile per il download

Download di Deft XVA Linux per Informatica ForenseDEFT XVA, la tanto attesa versione X della piattaforma di analisi forense e investigazioni digitali DEFT Linux è disponibile per il download, sotto forma di disco virtuale importabile su VMWare o VirtualBox e contenente strumenti per attività di analisi forense in ambito d’informatica forense e indagini digitali.

Basata su Ubuntu Mate 18.04, con il kernel in versione 4.15.0-36-generic, DEFT Linux X contiene una raccolta di tool free ed open source per l’analisi forense e indagini digitali, che vanno dall’estrazione artefatti, mount, data recovery, network forensics, hashing, OSINT, Imaging, password recovery, picture forensics, live forensics, malware analysis, timeline, virtual forensics, mobile forensics, wipe, mount manager e per concludere Autopsy.

DEFT XVA Distribuzione Forense Linux

 

DEFT XVA, ultima piattaforma della suite DEFT Linux, componente strategica di ogni consulente informatico forense, non viene avviata con utente root autenticato sul sistema ma con lo user “investigator”, la cui password di default è “investigator”. In ambito di perizia informatica forense, una distribuzione come DEFT Linux può essere utile per eseguire attività di analisi forense delle evidenze e produrre una relazione tecnica contenente le risultanze della propria attività d’indagine digitale sui dati ottenuti tramite copia forense, eseguita ad esempio tramite la versione ridotta della piattaforma DEFT, chiamata DEFT Zero e disponibile da settembre nella versine 2018.2.

Su DEFT XVA, per montare in lettura o scrittura dispositivi di archiviazione di massa (hard disk, pendrive, schede di memoria, etc…) sono disponibili sia l’interfaccia grafica di mount manager, sia i comandi “wrtblk” e “wrtblk-disable” già presenti da anni sulla piattaforma DEFT Zero.

DEFT XVA mount manager per montare dischi in read only o scrittura

Si ricorda infatti che DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.

DEFT Zero file manager per montare i dischi in read only

Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).

Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.

I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:

  • blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
  • blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.

Il download della virtual appliance DEFT X può essere eseguito gratuitamente tramite il mirror GARR (spesso non funzionante) oppure tramite la piattaforma di file sharing Mega. Purtroppo la dimensione del file contenente la VA è notevole, il file compresso “DeftXva.1.zip” che si scarica dal mirror GARR e da Mega occupa ben 13 GB e contiene un disco virtuale VMDK da 36 GB.

L’archivio ZIP “DeftXva.1.zip” che si ottiene al seguito del download contenente la macchina virtuale DEFT XVA produce i seguenti valori hash:

  • MD5: 1ccb2b3e5934712805f572848647e53c
  • SHA1: a07fec3990614bef8672ed27112c15c9a3dba35d
  • SHA256: 291f0a8fd1c3552fbf51cd826779c541e29650dd7e65038e9f2cd1eb63ac60cd

Il file “Deft X, va-disk1.vmdk” contenuto all’interno dell’archivio “DeftXva.1.zip” in download possiede i seguenti valori hash:

  • MD5: 54ad69a107a262046a7881856186f2e7
  • SHA1: 9d188848111c48a0a19cb82677d1e6374de3b08c
  • SHA256: dd3e76f25051bacf88cfa75f2596e915df79ce4f4a87564683d1c6c202db65c3

Al suo interno è contenuto un disco virtuale VMDK, che è necessario importare in una macchina virtuale creata, ad esempio, tramite VMWare oppure VirtualBox.

Forum ICT Security a Roma

La sicurezza e i rischi delle criptomonete al Forum ICT Security

Forum ICT Security a RomaMercoledì 24 ottobre, presso l’Auditorium della Tecnica in Viale Umberto Tupini 65 a Roma, si terrà la diciannovesima edizione del Forum ICT Security, con il titolo “Conoscere e Prevenire le Nuove Minacce Informatiche“, durante la quale esperti del settore settore delineeranno scenari criminologici di rischio e ci porteranno a conoscenza delle loro esperienze e delle soluzioni, al fine di indicare ad Aziende, PMI, e P.A. dove riporre tutti gli sforzi e le risorse, non solo a fini di contrasto ma, soprattutto, a fini di prevenzione, per il benessere della popolazione, della sicurezza nazionale, e il buon funzionamento del sistema Paese e della sua crescita economica.

Crypto crime e rischi delle criptovaluteIo porterò il mio modesto contributo dalle 17:05 alle 17:40 con un intervento dal titolo “Crypto Crime: rischi dell’utilizzo e del possesso delle criptovalute, contromisure e casi reali” durante il quale tirerò le somme sui primi 10 anni del Bitcoin e delle criptomonete che lo hanno seguito, come Ethereum, Monero, ZCash, Ripple, Litecoin viste dal punto di vista dei cosiddetti  “crypto crime”, cioè dei reati che coinvolgono possessori e utilizzatori delle criptovalute ma non solo, spesso anche ignare vittime. Il rischio spesso, infatti, è che le cryptocurrencies vengano utilizzate come tramite per il riciclaggio e l’incasso dei proventi dei reati più che come oggetto. Non solo, vittime degli attacchi sono sempre più spesso gli Exchange o coloro che si ritrovano a gestire quantità ingenti di denaro virtuale perché forniscono servizi di scambio a fronte di una commissione.

Il rischio, quindi, è sia dei privati sia delle aziende, che anche se non intenzionati a usufruire delle cripto monete si trovano magari vittime di estorsione a seguito di ransomware, furto di bitcoin, ethereum, litecoin o altre criptomonete oppure decidono d’investire in Bitcoin, Ethereum od operare in ambito smart contract, con rischi maggiori quanto maggiore è la superficie d’attacco. Così aziende e privati finiscono, sempre più spesso, a dover richiedere a causa dei crypto crime  attività d’indagine forense sulle criptomonete a supporto delle indagini in corso da parte dell’Autorità Giudiziaria , indagini che talvolta portano all’esigenza di operare sequestro di bitcoin o altre criptomonete come il Bitcoin o altre Altcoin/ICO più recenti.

Cypto Crime e Bitcoin

Durate l’intervento vedremo alcuni esempi reali di cripto crime ragionando sulle modalità con cui avvengono questi reati e quindi sui rischi che corrono le potenziali vittime, arrivando a delineare un insieme di contromisure per utilizzatori ed exchange utili per proteggere i propri asset digitali sia in ambito privato sia in quello corporate, con alcuni accenni alle potenzialità investigative derivate dalle nuove discipline della bitcoin intelligence e bitcoin forensics, ampliabili gradualmente anche ad altre criptomonete.

Per informazioni o iscrizioni, consigliamo di visitare il sito di ICT Security Magazine nella sezione dedicata al Forum ICT.

Email con minaccia divulgazione filmati webcam e riscatto in Bitcoin

Ricatti virtuali in bitcoin all’Aperitech BlockchainEDU

Questa sera, dalle 19:30 alle 21:30 si terrà a Milano il Meetup #AperiTech di ottobre del Blockchain Education Network Italia, un’iniziativa di Codemotion powered by LUISS ENLABS durante la quale si parla di temi relativi alle criptomonete e alla blockchain. Il ritrovo è presso la Sala LVG del Milano LUISS Hub, in Via Massimo D’Azeglio 3 a Milano. L’ingresso è gratuito ma è consigliata registrazione sul sito EventBrite.

Email con minaccia divulgazione filmati webcam e riscatto in Bitcoin

Tema di questa serata intitolata “Quando il crimine paga tanto con poco: un’analisi tecnica dei recenti casi di sexting via mail con ricatto in bitcoin” saranno le email di spam che tutti abbiamo ricevuto negli ultimi mesi, contenenti una nuova e interessante forma di ricatto nella quale la vittima viene fatta intimorire con minacce più o meno credibili per ottenere il pagamento di un riscatto in bitcoin. Nella mail infatti i criminali cercano di persuadere la vittima a pagare il riscatto facendole credere di conoscere la sua password, il suo cellulare o mostrandole di aver bucato il suo account di posta elettronica, chiedendole poi un riscatto in bitcoin per impedire la diffusione del materiale prelevato illegalmente dai suoi dispositivi, inclusi presunti filmati ritraenti la webcam del computer durante la visione di presunti video pornografici.

Il mio nickname in darknet è smith23 ho hackerato questa cassetta postale più di sei mesi fa

La truffa in sé non è nuova e non si tratta di un ransomware, anche se viene richiesto un riscatto in bitcoin in cambio di qualcosa per le vittime. E’ però interessante come questa volta i tre argomenti utilizzati per convincere le vittime della realtà della minaccia abbiano fatto presa e in tanti abbiano pagato il riscatto, anche persone che non hanno utilizzato il PC per visionare filmati pornografici (o non hanno alcuna webcam sul sistema) ma sono stati intimoriti dal fatto che il presunto “hacker” dichiara di aver rubato tutti i dati presenti sulle mail e sul PC, come si evince dal seguente messaggio di spam di tipo sextorsion, che sta girando proprio in questi giorni:

Ciao!

Il mio nickname in darknet è smith51.
Ho hackerato questa cassetta postale più di sei mesi fa,
attraverso di esso ho infettato il tuo sistema operativo con un virus (trojan) creato da me e ti sto monitorando da molto tempo.

Se non mi credi, per favore controlla ‘from address’ nella tua intestazione, vedrai che ti ho mandato una email dalla tua casella di posta.

Anche se hai cambiato la password, non importa, il mio virus ha intercettato tutti i dati di cache sul tuo computer
e automaticamente salvato l’accesso per me.

Ho accesso a tutti i tuoi account, social network, email, cronologia di navigazione.
Di conseguenza, ho i dati di tutti i tuoi contatti, file dal tuo computer, foto e video.

Sono rimasto molto colpito dai siti di contenuti intimi che occasionalmente visiti.
Hai una fantasia molto selvaggia, ti dico!

Durante il passatempo e l’intrattenimento lì, ho fatto uno screenshot attraverso la fotocamera del tuo dispositivo, sincronizzandoti con quello che stai guardando.
Dio mio! Sei così divertente ed eccitato!

Penso che tu non voglia che tutti i tuoi contatti ottengano questi file, giusto?
Se sei della stessa opinione, allora penso che 300$ sia un prezzo abbastanza onesto per distruggere il sudiciume che ho creato.

Invia l’importo sopra indicato sul mio portafoglio BTC (bitcoin): 1KGjDZ7RFV39r2q1JeSpZAF5L3fnpuenmT
Non appena ricevuto l’importo di cui sopra, garantisco che i dati verranno eliminati, non ne ho bisogno.

In caso contrario, questi file e la cronologia dei siti visitati otterranno tutti i tuoi contatti dal tuo dispositivo.
Ho anche salvato i log della tua corrispondenza. Tutti i tuoi contatti avranno accesso a loro!

Dopo aver letto questa lettera hai 50 ore!
(Non appena ricevi questo messaggio, sarò informato a riguardo).

Spero di averti insegnato una buona lezione.
Non essere così indifferente, visita solo risorse provate e non inserire le tue password ovunque!
In bocca al lupo!

Durante il talk analizzeremo come sono strutturati questi meccanismi estorsivi, le modalità con le quali i messaggi vengono inviati ai destinatari facendo credere loro di aver acceduto abusivamente alla loro casella di posta elettronica, il tipo di pagamento che viene richiesto, i motivi per i quali le minacce sono state ritenute credibili da parecchi di coloro che le hanno ricevute. Tramite tecniche di bitcoin forensics e intelligence, utilizzate in ambito investigativo ricostruiremo i wallet dei criminali e analizzeremo cosa è avvenuto sugli indirizzi bitcoin indicati dai ricattatori per il pagamento del riscatto, cercando di stimare i proventi di questo reato che sembra banale ma sta facendo incassare ai delinquenti forse più di quanto immaginavano.

Cyber Security presso il Master in Data Science for Business Intelligence

SMaster MADAB a Torinoono iniziate le lezioni di CyberSecurity presso il Master in Data Science for Business Intelligence (MADAB), attivato dall’Università degli Studi di Torino e organizzato da Despina Big Data Lab, il laboratorio di Big Data Analytics del Dipartimento di Economia e Statistica dell’Università e finanziato dalla Regione Piemonte grazie allo strumento dell’Apprendistato di alta formazione e ricerca.

Durante il corso che si terrà presso il Aula D2, Campus Luigi Einaudi, Lungo Dora Siena, 100/A  a Torino terrò la docenza del modulo di CyberSecurity, trattando argomenti relativi alla sicurezza informatica e informatica forense, in ambito prevalentemente aziendale/corporate o di ricerca e in ottica GDPR. Saranno trattati anche arIl Master in Data Science for Business Intelligence (MADAB) intende infatti fornire competenze e metodologie necessarie alla professione di Business Intelligence Analyst: una figura in grado di affiancare e supportare il management aziendale con strumenti di rilevanza strategica, finalizzati al raggiungimento degli obiettivi dell’impresa, per la quale la Cyber Security deve essere elemento strategico nel prendere decisioni e valutare le situazioni che occorrono in ambito corporate. Si consideri ad esempio l’importanza della conoscenza delle basi di digital forensics in caso di data breach e conseguenti indagini interne per poter fornire al Garante o agli interessati le informazioni che per legge devono essere predisposte entro 72 ore.

Per gli studenti, durante le lezioni saranno distribuite le slide proiettate durante il corso e forniti link, dispense e spunti per approfondire le tematiche trattate.

Forensic Readiness al GDPR Day 2018 a Torino

Martedì 9 ottobre si terrà a Torino, la conferenza GDPR Day: un evento interamente dedicato alla Privacy e Sicurezza dei dati aziendali, rigorosamente nell’ottica del nuovo regolamento Europeo. Il mio modesto contributo, durante la giornata alla quale parteciperanno relatori d’eccellenza, sarà un talk dal titolo “GDPR e Digital Forensics: l’informatica forense a supporto della protezione dei dati“.

Forensic Readiness al GDPR Day di Torino

A seguito del GDPR, infatti, le aziende dovranno garantire il monitoraggio, la raccolta dati e il pronto intervento in caso di data breach, con l’obbligo di notificare il tutto al Garante in tempi brevi e ai soggetti interessati, sotto determinate condizioni. Per poter adempiere ai doveri di notifica della violazione dei dati, è necessario che l’azienda si doti di un piano di “forensic readiness” avvalendosi di metodologie, servizi e strumenti di eDiscovery e Digital Forensics al fine di cristallizzare le evidenze, analizzarle e produrle come prova a valore legale. Le investigazioni digitali beneficiano di una predisposizione dell’azienda all’informatica forense non soltanto in caso di data breach, ma in caso di violazione possono permettere di rispondere ai quesiti posti dal Garante e acquisire i dati necessari per eventual attività investigative forensi future..

Il seminario illustrerà metodologie, tecniche e strumenti che l’azienda può utilizzare per identificare, acquisire, conservare, analizzare e descrivere le evidenze digitali, utilizzando tecniche d’informatica forense, così da soddisfare le richieste del Garante e allo stesso tempo informare debitamente eventuali assicurazioni, azionisti, clienti o soggetti i cui dati sono stati interessati dal data breach.

Dopo la giornata di Torino, la conferenza proseguirà poi a Verona, Bologna e Catania, sempre con interessantissimi talk in tema di privacy, protezione dati e GDPR. Per informazioni o iscrizioni consiglio di visionare il sito dedicato all’evento o contattare direttamente gli organizzatori tramite il modulo contatti del sito stesso.

Questo il programma della conferenza GDPR Day di Torino:

  • 8:30-9:30 – Accredito partecipanti
  • 9:40-10:00 – Benvenuto da parte di AreaNetworking.it ed Inside Factory (Federico Lagni, Fondatore e CEO di AreaNetworking.it e Presidente di Tesla Club Italy – Samuel Lo Gioco, Managing Director di Inside Factory)
  • 10:05-10:35 – Informativa e Consenso (Avv. Adriana Augenti, Segretario del Centro Studi Informatica Giuridica di Bari e Vice Presidente del Centro Studi Processo Telematico. Data Protection Officer dell’Ordine degli Avvocati di Bari)
  • 10:40-11:10 – Backup e Business continuity a prova di GDPR. Una guida per affrontare la sfida del momento (Claudio Panerai, CTO presso Achab)
  • 11:15-11:40 – Pausa caffè
  • 11:45-12:15 – PMI? Keep calm and comply with GDPR Navigator (Ing. Roberto Lorenzetti, CTO presso Siseco)
  • 12:20-12:50 – Gestire i contratti correttamente nell’era del GDPR (Monica Dossoni, Consulente privacy dal 2003 e Ceo Dadadati, con maturata esperienza di Responsabile dei dati oggi DPO)
  • 12:55-13:55 – Pausa Pranzo
  • 14:00-14:30 – Rischio Data Breach: il Fattore Umano, Vulnerabilità Trascurate e Soluzioni Possibili (Adriana Franca, Country Manager presso DigiTree)
  • 14:35-15:05 – Informative privacy: quante e quali devono essere inserite in un sito web? (Avv. Federica De Stefani, Avvocato e autrice di pubblicazioni giuridiche)
  • 15:10-15:35 – Pausa caffé
  • 15:40-16:10 – GDPR e Digital Forensics: l’informatica forense a supporto della protezione dei dati (Dr. Paolo Dal Checco, Consulente Informatico Forense)
  • 16:15-16:45 – Ruota libera: domande agli esperti. Tutto quello che avreste sempre voluto chiedere sul GDPR (tutti i relatori del tour GDPR Day 2018)
  • 16:50-17:00 – Chiusura lavori