Una bandiera, il traffico aereo e le stelle per l’OSINT di gruppo di 4chan

Ottimo esempio di OSINT – spiegato tra l’altro come al solito molto bene nel video YouTube dell’amico Matteo Flora – è la vicenda dell’attore Shia LaBeouf e della sua campagna anti Donald Trump mediante trasmissione live della bandiera con lo slogan “He will not divide us” che ha avuto un epilogo davvero interessante, sopratutto dal punto di vista investigativo.

Dopo aver tentato alcune sessioni di streaming in diretta 24/7 per manifestare contro Trump, tutte sfumate perché gli utenti del forum 4chan decisi a prendersi gioco di lui riuscivano ogni volta a identificare la sua posizione per disturbare le riprese, Shia LaBeouf ha pensato di aver trovato la soluzione. Invece di riprendere persone per le strade di città note, facilmente identificabili e quindi facile bersaglio dei troll, ha deciso di manifestare in modo “alternativo”, riprendendo e trasmettendo in streaming 24/7 la sua bandiera posizionata questa volta in un posto segreto, senza alcun riferimento se non il cielo. E il cielo è appunto la fonte aperta che ha permesso alla rete degli utenti 4chan di trovare la bandiera e sostituirla con la loro.

Se in una indagine investigativa basata su fonti aperte venisse richiesto d’identificare dove è stata scattata una fotografia di una bandiera, senza metadati exif e senza riferimenti sullo sfondo, la risposta sarebbe quasi certamente che “è impossibile”. Ma se invece di una foto abbiamo un video trasmesso in diretta, in tempo reale, 24 ore al giorno, dove nel cielo dietro la bandiera passano aerei che lasciano le scie di vapore e di notte si vedono le stelle, possiamo assistere a uno dei pochi episodi d’indagine collettiva basata su fonti aperte.

La comunità si è in fatti messa al lavoro, utilizzando tecniche di giornalismo investigativo che illustriamo da anni nel nostro corso OSINT e analizzando le scie di vapore lasciate dagli aerei sullo sfondo della bandiera, fino a quando alcuni utenti hanno identificato nel video un incrocio tra aerei di cui era presente, nello stesso istante, un riscontro nei database con le rotte in diretta degli aerei di linea. Così come per le navi, infatti, le rotte degli aerei sono pubbliche e così la loro posizione in tempo reale.

Identificata un’area di alcune decine di Km tramite il riconoscimento degli incroci di scie, si è posto il problema di come restringere la ricerca per identificare le coordinate GPS di una zona più ristretta e gli utenti di 4chan sono arrivati in poche ore a una soluzione grazie all’osservazione del movimento delle stelle, di notte, nel cielo ripreso sullo sfondo della bandiera.

Identificate tramite OSINT (Open Source Intelligence) le coordinate GPS di una zona ristretta di alcuni Km di raggio, visibile su Google Maps, era necessario poter circoscrivere la ricerca a un quartiere fino ad arrivare poi alla posizione esatta in cui Shia LaBeouf aveva piazzato la bandiera. Con un’azione repentina, uno degli utenti del forum 4chan si è recato in auto nell’area identificata grazie all’analisi delle scie di vapore degli aerei e delle stelle e ha percorso le strade del circondario suonando il clacson. Dato che la videocamera che riprendeva la bandiera aveva la registrazione audio attiva, è stato possibile per gli utenti di 4chan rimasti a casa al PC avvisare l’utente che stava suonando il clacson nel momento in cui il clacson si è sentito anche nel video, confermando quindi la posizione esatta in cui stavano avvenendo le riprese.

Il resto è storia, la storia di uno dei migliori troll degli ultimi anni (la bandiera infatti è stata sostituita con gran sorpresa dell’attore Shia LaBeouf) riuscito grazie all’analisi delle fonti aperte e alla collaborazione di un’intera rete di utenti che in poche ore, grazie a una sorta di “intelligenza collettiva”, sono arrivate dove probabilmente fior di analisti e professionisti del giornalismo investigativo si sarebbero arresi senza neanche tentare.

Corso su Digital Forensics ed Ethical Hacking

Nei mesi di aprile e maggio 2017, presso l’Ordine degli Ingegneri della provincia di Brescia, si terrà il Corso di Digital Forensics & Ethical Hacking, dove avrò il piacere di partecipare come relatore insieme a docenti del calibro di Giovanni Ziccardi, Nanni Bassetti, Paolo Reale, Andrea Ghirardini, Mattia Epifani, Alessandro Borra, Massimo Iuliani e Lorenzo Faletra, docenti in buona parte afferenti l’Osservatorio Nazionale d’Informatica Forense (ONIF).

L’iscrizione al corso sulla digital forensics che si terrà a Brescia è limitata a 30 partecipanti che potranno seguire 32 ore di formazione pura, sia teorica sia pratica per un costo d’iscrizione di € 414,80 (€ 340 + IVA) ricevendo 32 CFP (per la categoria “corso”).

Lo scopo del corso di Digital Forensics ed Ethical Hacking è quello di fornire degli approfondimenti per chi ha una base di informatica forense e investigazione digitale, materia in continua trasformazione e divenire. Durante il corso i partecipanti potranno aggiornarsi su vari argomenti di informatica forense e potranno seguire dei laboratori pratici, impareranno a trovare file nascosti, a recuperare dati cancellati, a duplicare integralmente informazioni in modo non ripudiabile tramite copie forensi, anche attraverso l’utilizzo di strumenti hardware o software, ricerche OSINT, Bitcoin forensics, crittografia, strumenti e metodologie per eseguire perizie multimediali su immagini e video, tecniche di attacchi informatici, mobile forensics, analisi di tabulati di traffico e strumenti per perizie su celle telefoniche e localizzazione.

Il corso viene interamente svolto in un’aula informatica, con 15 workstation, è possibile portare il proprio laptop per fare test ed esercizi che man mano verranno proposti nei corso di alcuni interventi.

Programma del Corso di Digital Forensics

Verrà consegnata ai partecipanti una pendrive usb con distribuzione CAINE e Parrot Security. Il corso è aperto oltre che agli Ingegneri, a Forze dell’Ordine, CTU, Periti, Investigatori, Informatici, Consulenti, Studenti, Avvocati e Appassionati di Indagini Informatiche.

Di seguito il programma dettagliato del corso di Digital Forensics ed Ethical Hacking che si terrà a Brescia, suddiviso per giornata e docente:

Table of Contents

Martedì 11 Aprile 2017

Ore 9-13: Laboratorio di Digital Forensics con sistemi Open Source esempi pratici con Distro Caine, test e analisi forense (Dott. Nanni Bassetti);

Ore 14-18: Ethical Hacking, sistemi di protezione e di attacco di una rete informatica con sistema operativo Parrot Security (Lorenzo Faletra).

Giovedì 20 Aprile 2017

Ore 9-11: Morte del dato, immortalità delle informazioni, diritto all’oblio … La de-indicizzazione come strumento per rimuovere informazioni (Prof. Giovanni Ziccardi);

Ore 11-13: Multimedia Forensics: Tecnologie per l’investigazione di immagini e video digitali – Analisi dei metadati e di codifica – Tracce di singole e multipla compressione, Image and Video Ballistic (Dott. Massimo Iuliani);

Ore 14-18: iOS Forensics – Introduzione alle migliori pratiche per l’identificazione, acquisizione e analisi di dispositivi iOS – Bypass dei sistemi di protezione e limiti attuali, dimostrazioni live e test su dispositivi mobili e cloud (Dott. Mattia Epifani).

Martedì 4 Maggio 2017

Ore 9-11: Digital Forensics e investigazione digitale ruolo e compiti del Consulente Informatico Forense (Dott. Alessandro Borra);

Ore 11-13: Laboratorio Pratico di Informatica Forense – Acquisizione live con duplicatori vari, con Ufed4PC, Analisi con Axiom e Physical Analyzer (Ing. Michele Vitiello);

Ore 14-16: Bitcoin, Dark Web e indagini sulle criptovalute (Dott. Paolo Dal Checco);

Ore 16-18: OSINT e indagini sulle fonti aperte (Dott. Paolo Dal Checco);

Venerdì 26 Maggio 2017

Ore 9-12: Architettura delle reti mobili, analisi dei tabulati di traffico e relativi strumenti, localizzazione tramite analisi delle celle telefoniche, rilevazione e mappatura delle coperture per analisi forense, casi reali (Ing. Paolo Reale);

Ore 12-13 e 14-17: Cloud & Enterprise, casi pratici di Acquisizione e Analisi (Dott. Andrea Ghirardini);

Ore 17-18: test e valutazione finale (Ing. Michele Vitiello).

Per informazioni e iscrizioni, visitare questo link.

Corso per Camera Penale di Monza sui Trojan come mezzi di prova

Venerdì 24 febbraio si è tenuta la seconda giornata di corso per la Camera Penale di Monza dove ho avuto il piacere d’intervenire come relatore insieme al Prof. Giovanni ZICCARDI e il Dott. Ferdinando DI TARANTO su le nuove tecnologie come mezzo di prova. Grazie all’ottima moderazione dell’Avvocato Giulio TAGLIABUE del Foro di Monza la giornata è stata focalizzata sulla qualificazione e l’ingresso nel processo penale del Trojan.

Per quanto ancora non si rilevino con frequenza in ambito di indagine informatica, i Trojan o “captatori” stanno acquisendo sempre più importanza viste le enormi possibilità offerte nelle intercettazioni ma anche le difficoltà riscontrate. Dall’intercettazione telefonica, telematica o ambientale si passa in fatti con l’ausilio di questi “malware di stati” ad una intercettazione di tutto il traffico uscente ed entrante dal dispositivo e dei dati in esso contenuto, incluse le chat Whatsapp, Facebook Messenger, SMS, email ma anche foto, video e qualunque file sia residente in locale o sul cloud.

L’intervento, un misto fra tecnico e giuridico, contiene una analisi tecnica e giuridica del software utilizzato dall’Autorità Giudiziaria ma non solo, visti i recenti episodi.

La partecipazione del pubblico di Avvocati, Giuristi e Studi Legali della zona di Monza e dintorni è stata molto positiva, l’aula piena e le domande stimolanti – ottima premessa per la tavola rotonda che si terrà il venerdì successivo alla presenza dei relatori Prof. Paolo Dal Checco, Dott. Ferdinanado Ditaranto, Dott. Salvatore Ferracane, Prof. Avv. Manfredi Bontempelli, Avv. Francesco Sbisà, Prof. Giovanni Ziccardi moderati dall’Avv. Davide Ventrella – Avvocato del Foro di Milano.

Cellebrite annuncia il servizio di sblocco PIN per iPhone 5s, 6 e 6 plus

Con un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, ha annunciato pubblicamente [WBM] che Cellebrite è in grado di trovare il PIN dagli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli, cosa che fino a qualche giorno fa sembrava possibile soltanto con gli iPhone 4S, 5 e 5C.

Tutti ricorderanno il caso dello sblocco dell’iPhone 5C di San Bernardino richiesto dall’FBI del 2016 e la notizia della settimana scorsa dell’iPhone 5S di Tiziana Cantone sbloccato su richiesta dalla Procura di Napoli, il primo risolto grazie a una società esterna di cui non è mai stato confermato il nome ma che in tanti ritengono essere l’israeliana Cellebrite, mentre per il secondo – avvenuto per coincidenza pochi giorni prima il comunicato di Cellebrite – non ci sono ancora conferme ufficiali né sul metodo utilizzato né sugli autori per quanto sui giornali si parla di una collaborazione tra i Carabinieri di Napoli e l’Ing. Carmine Testa [WBM] senza cenni a interventi esterni.

Le informazioni presenti sul sito web della Cellebrite, incluse le pagine relative al servizio CAIS tramite il quale l’Autorità Giudiziaria può richiedere il servizio di sblocco PIN presso i laboratori Cellebrite a Israele o Monaco, non sono ancora state aggiornate ma ormai la nuova funzionalità del servizio sembra confermata anche dalle domande che diversi utenti hanno posto a Shahar sul suo profilo twitter. Messaggi di complimenti, come il “congrats on the new capability” cui Shahar Tal risponde con un “Who said anything about ‘new’?” lasciando persino trapelare come la funzionalità di sblocco dei nuovi iPhone non sia una novità per la società israeliana.

Fino a pochi giorni fa infatti il servizio CAIS (Cellebrite Advanced Investigative Services) che permette di trovare il PIN dei dispositivi iOS (iPhone, iPad) a 32 bit e 64bit e Android per sbloccarli ed acquisire copia forense veniva offerto soltanto per i seguenti dispositivi:

iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G, e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2)

Samsung Galaxy S6, Galaxy Note 5 e Galaxy S7 con tutte le versioni Android versions fino a e inclusa la Android Marshmallow 6.0.1

Per chi non la conosce, Cellebrite è una delle società leader in campo di mobile forensics, che fornisce il prodotto UFED utilizzato quotidianamente dai consulenti informatici forensi che eseguono perizie su cellulari e smartphone. La funzionalità di sblocco PIN da alcuni cellulari e smartphone era in parte già realtà grazie agli strumenti in dotazione a diversi studi di Informatica Forense, quali il Cellebrite UFED, il Micro Systemation XRY, l’Oxygen Forensics o l’IPBOX ma soltanto per alcune versioni di Android e per le vecchie versioni di iOS (iOS 7 e in parte iOS 8). Per gli iPhone con versione del Sistema Operativo iOS 7 è persino possibile lo sblocco pin quando il dispositivo è disabilitato e richiede di connettersi a iTunes per ripristinare il cellulare.

Le versioni successive di iOS (quindi tutti gli iPhone inclusi quelli con processore a 64bit) non sono supportate da nessuno di questi tool e quindi il servizio di sblocco PIN e password da cellulare fornito da Cellebrite diventa strategico in caso di perizia tecnica informatica su dispositivi mobili in ambito giudiziario, considerando però che la momento non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 e non è compatibile con smartphone con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus.

Cellebrite deve essere infatti riuscita a superare le protezioni impose dal meccanismo di secure enclave, che come descrive Apple a pagina 12 della sua Guida Ufficiale sulla Sicurezza dei Dispositivi iOS [WBM] comanda i ritardi dell’inserimento del PIN lock sui dispositivi con processore A7 o successivi. Secure Enclave impone infatti i seguenti ritardi tra i tentativi di inserimento del codice: da 1 a 4 tentativi nessun ritardo, al quinto tentativo 1 minuto di ritardo, al sesto 5 minuti, al settimo e ottavo 15 minuti, al nono 1 ora. Un ulteriore tentativo errato d’inserimento PIN porta l’iPhone nello stato di disabled, disabilitato, oppure ne avvia il ripristino se “Impostazioni > Touch ID e codice > Inizializza dati” è attivato.

Shahar, con ulteriori tweet, ringrazia il suo team per gli obiettivi raggiunti e per il supporto dato alla giustizia in tutto il mondo, in particolare nei casi relativi a molestie su minori che vengono catturati e imprigionati grazie al lavoro dei ricercatori che permettono alle Forze dell’Ordine di acquisire in maniera forense i dati presenti sugli smartphone per utilizzarli come elementi probatori.

In base alle informazioni presenti in rete, il servizio CAIS di sblocco PIN e password di iPhone e Android possiede le seguenti caratteristiche e limitazioni:

il servizio può essere richiesto solamente dall’Autorità Giudiziaria, in ambito d’indagini per processi penali o civili;
l’operazione di PIN unlock costa circa 1.500 dollari;
l’unlock del PIN non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 né quelli con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus
il servizio di sblocco viene offerto soltanto presso le sedi Cellebrite, è quindi necessario portare di persona lo smartphone da loro o spedirlo;
non è possibile assistere all’operazione di sblocco del PIN o della password del dispositivo;
al termine dell’attività tecnica viene fornito al committente il codice PIN con il quale il cellulare è bloccato.

Perché Google sta chiedendo di reinserire la password sugli smartphone?

In queste ore Google sta chiedendo ai suoi utenti di autenticarsi nuovamente reinserendo la password dell’account Google o Gmail, sui cellulari come Android e iPhone. La ragione della richiesta da parte di Google di inserire la password potrebbe essere il leak subito da CloudFlare, che ha potenzialmente coinvolto due milioni di siti web sulla rete Cloudflare. Come riportato dal report di CloudFlare in seguito alla segnalazione dei ricercatori del team Google’s Project Zero che hanno definito il bug “Cloudbleed” i reverse proxy di CloudFlare hanno fino a ieri pubblicato involontariamente porzioni di memoria contenenti potenzialmente informazioni riservate oltre a dati di autenticazione delle sessioni degli utenti.

Il “baco” ha colpito oltre due milioni di siti, in parte elencati a questo link, che fanno uso di Cloudflare per proteggersi dagli attacchi e che, in questo caso, ne sono diventati vulnerabili. Ovviamente la maggioranza dei siti non contengono informazioni sugli utenti o token di autenticazione, ma tra quelli coinvolti ce ne sono alcuni che raccolgono dati personali o supportano l’autenticazione tramite token di autenticazione (si pensi ad Authy, ad esempio) che possono quindi permettere a un attaccante di acquisire sessioni attive (non la password) e utilizzarle per intromettersi negli account delle vittime

Non è necessario – anche se è sempre buona pratica – cambiare la propria password, come specifica anche Cloudflare, l’importante è reinserirla resettando i token di autenticazione attivi con siti e servizi coinvolti nel leak.

Ovviamente, questa enorme quantità di richieste di inserimento password arrivate oggi potrebbero essere sfruttate da chi fa phishing per impersonare Google e intercettare così username e password di utenti convinti di mettersi al riparo dal bug “CloudBleed” di Cloudflare.

Su alcuni forum sono arrivate smentite e il supporto di Google non conferma l’ipotesi ma rassicura sul fatto che non ci sono rischi per gli utenti: rimaniamo quindi nel dubbio concludendo che, tecnicamente, questo logout forzato e richiesta di fare login inserendo nuovamente la password potrebbe esser un modo per reinizializzare eventuali sessioni compromesse e mettere al sicuro gli account e i dati dei propri utenti. O, quantomeno, la coincidenza sarebbe davvero notevole.

Studio d'Informatica Forense

Perizie Informatiche Forensi, CTP e CTU in Processi Civili e Penali