Corso su Digital Forensics ed Ethical Hacking

Corso di Digital Forensic ed Ethical HackingNei mesi di aprile e maggio 2017, presso l’Ordine degli Ingegneri della provincia di Brescia, si terrà il Corso di Digital Forensics & Ethical Hacking, dove avrò il piacere di partecipare come relatore insieme a docenti del calibro di Giovanni Ziccardi, Nanni Bassetti, Paolo Reale, Andrea Ghirardini, Mattia Epifani, Alessandro Borra, Massimo Iuliani e Lorenzo Faletra, docenti in buona parte afferenti l’Osservatorio Nazionale d’Informatica Forense (ONIF).

L’iscrizione al corso sulla digital forensics che si terrà a Brescia è limitata a 30 partecipanti che potranno seguire 32 ore di formazione pura, sia teorica sia pratica per un costo d’iscrizione di € 414,80 (€ 340 + IVA) ricevendo 32 CFP (per la categoria “corso”).

Lo scopo del corso di Digital Forensics ed Ethical Hacking è quello di fornire degli approfondimenti per chi ha una base di informatica forense e investigazione digitale, materia in continua trasformazione e divenire. Durante il corso i partecipanti potranno aggiornarsi su vari argomenti di informatica forense e potranno seguire dei laboratori pratici, impareranno a trovare file nascosti, a recuperare dati cancellati, a duplicare integralmente informazioni in modo non ripudiabile tramite copie forensi, anche attraverso l’utilizzo di strumenti hardware o software, ricerche OSINT, Bitcoin forensics, crittografia, strumenti e metodologie per eseguire perizie multimediali su immagini e video, tecniche di attacchi informatici, mobile forensics, analisi di tabulati di traffico e strumenti per perizie su celle telefoniche e localizzazione.

Il corso viene interamente svolto in un’aula informatica, con 15 workstation, è possibile portare il proprio laptop per fare test ed esercizi che man mano verranno proposti nei corso di alcuni interventi.

Programma del Corso di Digital Forensics

Verrà consegnata ai partecipanti una pendrive usb con distribuzione CAINE e Parrot Security. Il corso è aperto oltre che agli Ingegneri, a Forze dell’Ordine, CTU, Periti, Investigatori, Informatici, Consulenti, Studenti, Avvocati e Appassionati di Indagini Informatiche.

Di seguito il programma dettagliato del corso di Digital Forensics ed Ethical Hacking che si terrà a Brescia, suddiviso per giornata e docente:

Martedì 11 Aprile 2017

Ore 9-13: Laboratorio di Digital Forensics con sistemi Open Source esempi pratici con Distro Caine, test e analisi forense (Dott. Nanni Bassetti);

Ore 14-18: Ethical Hacking, sistemi di protezione e di attacco di una rete informatica con sistema operativo Parrot Security (Lorenzo Faletra).

Giovedì 20 Aprile 2017

Ore 9-11: Morte del dato, immortalità delle informazioni, diritto all’oblio … La de-indicizzazione come strumento per rimuovere informazioni (Prof. Giovanni Ziccardi);

Ore 11-13: Multimedia Forensics: Tecnologie per l’investigazione di immagini e video digitali – Analisi dei metadati e di codifica – Tracce di singole e multipla compressione, Image and Video Ballistic (Dott. Massimo Iuliani);

Ore 14-18: iOS Forensics – Introduzione alle migliori pratiche per l’identificazione, acquisizione e analisi di dispositivi iOS – Bypass dei sistemi di protezione e limiti attuali, dimostrazioni live e test su dispositivi mobili e cloud (Dott. Mattia Epifani).

Martedì 4 Maggio 2017

Ore 9-11: Digital Forensics e investigazione digitale ruolo e compiti del Consulente Informatico Forense (Dott. Alessandro Borra);

Ore 11-13: Laboratorio Pratico di Informatica Forense – Acquisizione live con duplicatori vari, con Ufed4PC, Analisi con Axiom e Physical Analyzer (Ing. Michele Vitiello);

Ore 14-16: Bitcoin, Dark Web e indagini sulle criptovalute (Dott. Paolo Dal Checco);

Ore 16-18: OSINT e indagini sulle fonti aperte (Dott. Paolo Dal Checco);

Venerdì 26 Maggio 2017

Ore 9-12: Architettura delle reti mobili, analisi dei tabulati di traffico e relativi strumenti, localizzazione tramite analisi delle celle telefoniche, rilevazione e mappatura delle coperture per analisi forense, casi reali (Ing. Paolo Reale);

Ore 12-13 e 14-17: Cloud & Enterprise, casi pratici di Acquisizione e Analisi (Dott. Andrea Ghirardini);

Ore 17-18: test e valutazione finale (Ing. Michele Vitiello).

Per informazioni e iscrizioni, visitare questo link.

Corso per Camera Penale di Monza sui Trojan come mezzi di prova

Camera Penale di MonzaVenerdì 24 febbraio si è tenuta la seconda giornata di corso per la Camera Penale di Monza dove ho avuto il piacere d’intervenire come relatore insieme al Prof. Giovanni ZICCARDI e il Dott. Ferdinando DI TARANTO su le nuove tecnologie come mezzo di prova. Grazie all’ottima moderazione dell’Avvocato Giulio TAGLIABUE del Foro di Monza la giornata è stata focalizzata sulla qualificazione e l’ingresso nel processo penale del Trojan.

Per quanto ancora non si rilevino con frequenza in ambito di indagine informatica, i Trojan o “captatori” stanno acquisendo sempre più importanza viste le enormi possibilità offerte nelle intercettazioni ma anche le difficoltà riscontrate. Dall’intercettazione telefonica, telematica o ambientale si passa in fatti con l’ausilio di questi “malware di stati” ad una intercettazione di tutto il traffico uscente ed entrante dal dispositivo e dei dati in esso contenuto, incluse le chat Whatsapp, Facebook Messenger, SMS, email ma anche foto, video e qualunque file sia residente in locale o sul cloud.

L’intervento, un misto fra tecnico e giuridico, contiene una analisi tecnica e giuridica del software utilizzato dall’Autorità Giudiziaria ma non solo, visti i recenti episodi.

Investigazioni Digitali - Malware di Stato

La partecipazione del pubblico di Avvocati, Giuristi e Studi Legali della zona di Monza e dintorni è stata molto positiva, l’aula piena e le domande stimolanti – ottima premessa per la tavola rotonda che si terrà il venerdì successivo alla presenza dei relatori Prof. Paolo Dal Checco, Dott. Ferdinanado Ditaranto, Dott. Salvatore Ferracane, Prof. Avv. Manfredi Bontempelli, Avv. Francesco Sbisà, Prof. Giovanni Ziccardi moderati dall’Avv. Davide Ventrella – Avvocato del Foro di Milano.

Cellebrite annuncia il servizio di sblocco PIN per iPhone 5s, 6 e 6 plus

Messaggio Twitter di Shahar Tal con annuncio sblocco PIN di iPhone 6 plusCon un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, ha annunciato pubblicamente [WBM] che Cellebrite è in grado di trovare il PIN dagli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli, cosa che fino a qualche giorno fa sembrava possibile soltanto con gli iPhone 4S, 5 e 5C.

Tutti ricorderanno il caso dello sblocco dell’iPhone 5C di San Bernardino richiesto dall’FBI del 2016 e la notizia della settimana scorsa dell’iPhone 5S di Tiziana Cantone sbloccato su richiesta dalla Procura di Napoli, il primo risolto grazie a una società esterna di cui non è mai stato confermato il nome ma che in tanti ritengono essere l’israeliana Cellebrite, mentre per il secondo – avvenuto per coincidenza pochi giorni prima il comunicato di Cellebrite – non ci sono ancora conferme ufficiali né sul metodo utilizzato né sugli autori per quanto sui giornali si parla di una collaborazione tra i Carabinieri di Napoli e l’Ing. Carmine Testa [WBM] senza cenni a interventi esterni.

Le informazioni presenti sul sito web della Cellebrite, incluse le pagine relative al servizio CAIS tramite il quale l’Autorità Giudiziaria può richiedere il servizio di sblocco PIN presso i laboratori Cellebrite a Israele o Monaco, non sono ancora state aggiornate ma ormai la nuova funzionalità del servizio sembra confermata anche dalle domande che diversi utenti hanno posto a Shahar sul suo profilo twitter. Messaggi di complimenti, come il “congrats on the new capability” cui Shahar Tal risponde con un  “Who said anything about ‘new’?” lasciando persino trapelare come la funzionalità di sblocco dei nuovi iPhone non sia una novità per la società israeliana.

Come sbloccare il PIN di iPhone con Cellebrite

Fino a pochi giorni fa infatti il servizio CAIS (Cellebrite Advanced Investigative Services) che permette di trovare il PIN dei dispositivi iOS (iPhone, iPad) a 32 bit e 64bit e Android per sbloccarli ed acquisire copia forense veniva offerto soltanto per i seguenti dispositivi:

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G, e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2)
  • Samsung Galaxy S6, Galaxy Note 5 e Galaxy S7 con tutte le versioni Android versions fino a e inclusa la Android Marshmallow 6.0.1

Per chi non la conosce, Cellebrite è una delle società leader in campo di mobile forensics, che fornisce il prodotto UFED utilizzato quotidianamente dai consulenti informatici forensi che eseguono perizie su cellulari e smartphone. La funzionalità di sblocco PIN da alcuni cellulari e smartphone era in parte già realtà grazie agli strumenti in dotazione a diversi studi di Informatica Forense, quali il Cellebrite UFED, il Micro Systemation XRY, l’Oxygen Forensics o l’IPBOX ma soltanto per alcune versioni di Android e per le vecchie versioni di iOS (iOS 7 e in parte iOS 8). Per gli iPhone con versione del Sistema Operativo iOS 7 è persino possibile lo sblocco pin quando il dispositivo è disabilitato e richiede di connettersi a iTunes per ripristinare il cellulare.

Sblocco del PIN di un iPhone disabilitato

Le versioni successive di iOS (quindi tutti gli iPhone inclusi quelli con processore a 64bit) non sono supportate da nessuno di questi tool e quindi il servizio di sblocco PIN e password da cellulare fornito da Cellebrite diventa strategico in caso di perizia tecnica informatica su dispositivi mobili in ambito giudiziario, considerando però che la momento non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 e non è compatibile con smartphone con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus.

Cellebrite deve essere infatti riuscita a superare le protezioni impose dal meccanismo di secure enclave, che come descrive Apple a pagina 12 della sua Guida Ufficiale sulla Sicurezza dei Dispositivi iOS [WBM] comanda i ritardi dell’inserimento del PIN lock sui dispositivi con processore A7 o successivi. Secure Enclave impone infatti i seguenti ritardi tra i tentativi di inserimento del codice: da 1 a 4 tentativi nessun ritardo, al quinto tentativo 1 minuto di ritardo, al sesto 5 minuti, al settimo e ottavo 15 minuti, al nono 1 ora. Un ulteriore tentativo errato d’inserimento PIN porta l’iPhone nello stato di disabled, disabilitato, oppure ne avvia il ripristino se “Impostazioni > Touch ID e codice > Inizializza dati” è attivato.

Shahar, con ulteriori tweet, ringrazia il suo team per gli obiettivi raggiunti e per il supporto dato alla giustizia in tutto il mondo, in particolare nei casi relativi a molestie su minori che vengono catturati e imprigionati grazie al lavoro dei ricercatori che permettono alle Forze dell’Ordine di acquisire in maniera forense i dati presenti sugli smartphone per utilizzarli come elementi probatori.

In base alle informazioni presenti in rete, il servizio CAIS di sblocco PIN e password di iPhone e Android possiede le seguenti caratteristiche e limitazioni:

  • il servizio può essere richiesto solamente dall’Autorità Giudiziaria, in ambito d’indagini per processi penali o civili;
  • l’operazione di PIN unlock costa circa 1.500 dollari;
  • l’unlock del PIN non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 né quelli con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus
  • il servizio di sblocco viene offerto soltanto presso le sedi Cellebrite, è quindi necessario portare di persona lo smartphone da loro o spedirlo;
  • non è possibile assistere all’operazione di sblocco del PIN o della password del dispositivo;
  • al termine dell’attività tecnica viene fornito al committente il codice PIN con il quale il cellulare è bloccato.

Perché Google sta chiedendo di reinserire la password sugli smartphone?

Google richiede il cambio della password degli accountIn queste ore Google sta chiedendo ai suoi utenti di autenticarsi nuovamente reinserendo la password dell’account Google o Gmail, sui cellulari come Android e iPhone. La ragione della richiesta da parte di Google di inserire la password potrebbe essere il leak subito da CloudFlare, che ha potenzialmente coinvolto due milioni di siti web sulla rete Cloudflare. Come riportato dal report di CloudFlare in seguito alla segnalazione dei ricercatori del team Google’s Project Zero che hanno definito il bug “Cloudbleed” i reverse proxy di CloudFlare hanno fino a ieri pubblicato involontariamente porzioni di memoria contenenti potenzialmente informazioni riservate oltre a dati di autenticazione delle sessioni degli utenti.

Il “baco” ha colpito oltre due milioni di siti, in parte elencati a questo link, che fanno uso di Cloudflare per proteggersi dagli attacchi e che, in questo caso, ne sono diventati vulnerabili. Ovviamente la maggioranza dei siti non contengono informazioni sugli utenti o token di autenticazione, ma tra quelli coinvolti ce ne sono alcuni che raccolgono dati personali o supportano l’autenticazione tramite token di autenticazione (si pensi ad Authy, ad esempio) che possono quindi permettere a un attaccante di acquisire sessioni attive (non la password) e utilizzarle per intromettersi negli account delle vittime

Non è necessario – anche se è sempre buona pratica – cambiare la propria password, come specifica anche Cloudflare, l’importante è reinserirla resettando i token di autenticazione attivi con siti e servizi coinvolti nel leak.

Ovviamente, questa enorme quantità di richieste di inserimento password arrivate oggi potrebbero essere sfruttate da chi fa phishing per impersonare Google e intercettare così username e password di utenti convinti di mettersi al riparo dal bug “CloudBleed” di Cloudflare.

Su alcuni forum sono arrivate smentite e il supporto di Google non conferma l’ipotesi ma rassicura sul fatto che non ci sono rischi per gli utenti: rimaniamo quindi nel dubbio concludendo che, tecnicamente, questo logout forzato e richiesta di fare login inserendo nuovamente la password potrebbe esser un modo per reinizializzare eventuali sessioni compromesse e mettere al sicuro gli account e i dati dei propri utenti. O, quantomeno, la coincidenza sarebbe davvero notevole.

Cybersecurity for Business Perspective by Fluel

Secure, Conferenza su CyberSecurity a Milano by FluelSi è concluso l’evento sulla CyberSecurity organizzato a Milano da “Fluel, Innovation for Business” con un programma che copre diversi aspetti della sicurezza informatica:

  • Cyber Crisis Management, la gestione della crisi – Andrea Zapparoli Manzoni, KPMG Advisory
  • Data breach, attacchi informatici e responsabilità legali – Giulio Coraggio, DLA Piper
  • Cybersecurity “hands on”, progettare la sicurezza – Marco Ramilli, Yoroi
  • Security Everywhere: la nuova sfida verso la Cyber Security – Stefano Volpi, CISCO
  • Impatti legali e normative sulla cybersecurity nel banking – Andrea De Matteis, De Matteis Law
  • Blockchain, Ransomware e Cybersecurity – Vincenzo Aguì, Helperbit e Paolo Dal Checco, Digital Forensics Bureau
  • Effective technology for Cybersecurity audit – Andrea Piazza, Microsoft
  • Predictive Cybersecurity attraverso i Big Data – Andrea D’Orio, Exage
  • Nuove professioni per la Cybersecurity – Aldo Razzino, Open Search Network

Durante la giornata, nove talk di 45 minuti di relatori di alto livello si sono susseguiti per fornire un panorama a 360° sui rischi, le prospettive, lo stato dell’arte e il futuro della cosiddetta “cybersecurity”, incluse le professioni che vi gravitano intorno.

Desidero ringraziare personalmente l’organizzatore Salvatore Palange, i partecipanti che hanno seguito dal primo all’ultimo intervento formulando domande sempre in topic e i relatori che hanno tenuto alta l’attenzione con argomenti di attualità e mai scontati, divulgativi ma nel contempo tecnici al punto giusto.

L’intervento su “Blockchain, Ransomware e Cybersecurity” che ho tenuto insieme all’amico Vincenzo Aguì – che ringrazio per l’opportunità di poter tenere finalmente un talk insieme – ha percorso, con un modello domanda/risposta dal titolo “FAQ the Ransomware” le domande che tipicamente vengono poste agli esperti del settore su ransomware e bitcoin. Durante il seminario si è parlato di cosa sono e come funzionano i ransomware, di come prevenire l’infezione e come correre ai ripari, di come tramite bitcoin forensics e bitcoin intelligence è possibile tentare di deanonimizzare indirizzi e transazioni.

In particolare con l’intervento su “Blockchain, Ransomware e Cybersecurity” abbiamo provato a dare una risposta ai seguenti interrogativi:

    • Cosa è un ransomware?
    • Come mai se ne parla da poco?
    • Chi c’è dietro i ransomware?
    • Come si viene infettati dai ransomware?
    • I criptovirus infettano soltanto i PC?
    • Si possono decifrare i dati criptati senza pagare?
    • Ma se pago, decifrano davvero i miei documenti?
    • Come faccio a pagare in bitcoin?
    • Il cryptovirus si limita a cifrare?
    • Come posso difendermi?
    • Io ho il Mac, sono al sicuro?
    • Ma pagare… è legale?
    • Si possono scovare i delinquenti?
  • Devo/è utile fare denuncia?