Sblocco PIN su Apple iOS 9.x 32bit e Samsung Galaxy S6 e S7

Sblocco PIN di iPhone e Android tramite CellebriteDue importanti novità nel campo della mobile forensics: la società israeliana Cellebrite ha recentemente aggiornato il suo servizio CAIS con la funzione di sblocco PIN e acquisizione fisica dei dispositivi Apple con processore a 32 bit senza secure enclave e iOS 9.x, fino a pochi giorni fa impossibili da sbloccare poiché il servizio era disponibile soltanto per gli iPhone/iPad/iPod con versione Apple iOS 8.x.

Ccellebrite CAIS Unlocking ServicesLa funzionalità di sblocco PIN di iPhone e Samsung Android non è stata inserita nei prodotti Cellebrite come UFED ma viene fornita dalla casa produttrice tramite contatto diretto mediante il loro modulo per Cellebrite CAIS Unlocking Services e a pagamento.

I dettagli e le modalità di esecuzione del servizio CAIS vengono forniti su richiesta, sappiamo però che in passato Cellebrite ha fornito assistenza anche all’Autorità Giudiziaria italiana a seguito di consegna a mano dell’iPhone presso la loro sede in Germania poiché il dispositivo da sbloccare possedeva processore A6 a 32 bit senza il sistema secure enclave.

La modalità di acquisizione fisica di un dispositivo mobile indica la possibilità di estrarre l’intero contenuto della memoria flash, tramite una “copia forense” bit-to-bit di tutte le aree, allocate e non, incluse quelle precluse al Sistema Operativo o quelle in cui sono presenti dati cancellati ma non ancora sovrascritti. Ciò permette, in alcuni casi, di eseguire il recupero dati cancellati da smartphone o accedere ad aree di memoria ove sono presenti dati rilevanti per le indagini che l’acquisizione logical o filesystem non riescono a raggiungere. Nell’ambito delle perizie informatiche su cellulare e smartphone, è certamente un elemento strategico poter disporre di una copia fisica del dispositivo e di dati fino a oggi inaccessibili se non tramite rooting o jailbreaking.

Cellebrite dichiara nel suo comunicato online [WBM], sulla brochure del servizio CAIS del 15 luglio [WBM] (dove dichiara “Galaxy S7“) e in quella del 20 luglio [WBM] (dove ha precisa “some Galaxy S7 devices“) di essere la prima società a fornire una “estrazione fisica con decifratura” di alcuni dispositivi iPhone (iOS) e Samsung (Android):

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2);
  • Samsung Galaxy S6, Galaxy Note 5 e alcuni dispositivi Galaxy S7 con qualunque versione di Android fino alla Marshmallow 6.0.1 inclusa.

Sembra quindi che sia ancora impossibile lo sblocco di PIN e la physical acquisition di smartphone con processore a 64 bit come l’iPhone 5s, iPhone 6, iPhone 6 plus, iPhone 6s, iPhone 6s plus oppure iPad Air, ipad Air 2, iPad Mini 2, iPad Mini 3, iPad Mini 4.

In particolare, il servizio permette di sbloccare dispositivi iPhone o Samsung protetti da PIN e acquisire in maniera forense il contenuto senza la necessità di eseguire rooting o jailbreak al fine di accedere al’intero filesystem per recuperare email scaricate, dati di applicazioni di terze parti, dati di geolocalizzazione o log di sistema.

Ciò che viene estratto dalla copia fisica dell’iPhone può poi integrare quanto già fino a oggi estraibile tramite il Cellebrite UFED Physical Analyzer, cioè:

  • Dati decodificati: Elenco chiamate, voicemail, contatti, localizzazioni geografiche (WiFi, celle e fix GPS), immagini, video, messaggi di testo SMS, MMS, email, note, applicazioni installate e loro utilizzo, dizionario utente, calendario/agenda, storia dei pairing con dispositivi bluetooth, cache delle mappe;
  • Applicazioni: Skype, Whatsapp, Viber, Fring, MotionX, AIM, TigerText, Facebook Messenger, Twitterrific, Textfree, Google+, Facebook, Foursquare, Garmin, TomTom, Waze, TextNow, Dropbox, Yahoo Messenger, Ping Chat, Twitter, Touch (new ping chat), Find My iPhone, LinkedIn, iCQ, Kik Messenger, Google Maps, Kakaotalk, QIP, Evernote, Vkontakte, Mail.ru
  • Dati di navigazione web: Safari, Opera Mini – bookmark, history e cookies

La tabella di supporto per il recupero dati e lo sblocco del PIN di dispositivi Apple con Sistema Operativo iOS come iPhone, iPad e iPod del software UFED Physical Analyzer è la seguente:

Supporto iPhone iOS di Cellebrite UFED Physical Analyzer

Ricordiamo infine che la società israeliana Cellebrite era tra quelle che si riteneva potessero avere contribuito allo sblocco dell’iPhone di Farook durante le indagini per la strage di San Bernardino e i telefoni per i quali è disponibile il servizio CAIS comprendono anche il modello utilizzato dall’autore della strage Farook, un iPhone 5C con processore a 32 bit e iOS 9.x.

Per approfondimenti sul sistema di protezione dati di Apple iOS, il secure enclave, il boot process e tutto ciò che concerne la sicurezza dei dispositivi iOS consigliamo la lettura della iOS Security Guide ufficiale di Apple [WBM] mentre per una schematizzazione dei dispositivi Apple organizzata per processore, versione iOS e caratteristiche hardware e software consigliamo la pagina Wikipedia sui dispositivi iOS [WBM].

Controlli datoriali e consulenza tecnica sugli strumenti informatici del “dipendente infedele”

Consulenza Tecnica sugli strumenti informatici del "dipendente infedele"A due mesi dall’uscita dell’articolo sulla rivista “ICT Security”, riporto il testo e il PDF dell’articolo che tratta – seppur nello spazio di poche pagine – dal punto di vista tecnico e giuridico alcune problematiche legate ai controlli datoriali e le attività di consulenza tecnica sugli strumenti informatici aziendali in uso al “dipendente infedele”, scritto con la preziosa collaborazione degli amici giuristi Jacopo Giunta e Francesco Meloni. Sempre più aziende, infatti, hanno l’esigenza di eseguire indagini sul comportamento dei propri dipendenti, per motivazioni quali concorrenza sleale, furto d’informazioni, infedeltà che rendono necessari controlli investigativi sulla postazione e gli strumenti di lavoro del dipendente.

ICT Security è il periodico edito da Tecna Editrice e dedicato interamente alla Sicurezza Informatica che, da alcuni mesi, ospita una rubrica sulla Digital Forensics della quale sono curatore all’interno di un Comitato Scientifico dove sono affiancato da esperti di fama ormai consolidata in diversi ambiti e diretto dal grande Corrado Giustozzi. Oltre alla redazione della rivista, Tecna Editrice si fa promotrice di eventi divulgativi in ambito Security come la Cyber Crime Conference e il Forum ICT Security, ai quali quando riesco partecipo sempre volentieri perché con panel interessanti e ben organizzati. Per rimanere al corrente degli eventi e delle pubblicazioni proposte da Tecna Editrice, potete seguire il profilo Twitter o iscrivervi alla newsletter sul sito.

Qui di seguito il testo completo per una comoda lettura online, mentre da questo link è possibile scaricare il PDF dell’articolo estratto dalla rivista ICT Security di maggio 2016.

I controlli datoriali e le attività di consulenza tecnica sugli strumenti informatici aziendali in uso al dipendente “infedele”, di Paolo Dal Checco, Jacopo Giunta e Francesco Meloni

Paolo Dal Checco svolge attività di Consulenza Tecnica in ambito forense collaborando con Procure, Tribunali e Forze dell’Ordine oltre che con aziende, privati e Avvocati. Professore a Contratto del corso di Sicurezza Informatica per l’Università degli Studi di Torino, nel C.d.L. in Scienze Strategiche, socio IISFA, CLUSIT, AIP e Tech & Law è tra i fondatori dell’Osservatori Nazionale per l’Informatica Forense, dell’Associazione DEFT che sviluppa la piattaforma DEFT Linux per acquisizioni e analisi forensi.

Jacopo Giunta, Legal & IT Counsultant @ Studio Legale Associato Ambrosio & Commodo. Si occupa di responsabilità civile, privacy e data protection. Consulente informatico forense, certificato CIFI, socio CLUSIT, IISFA e DFA, nella sua attività ha maturato specifiche competenze in materia di, infortunistica stradale, responsabilità̀ medica, disastri aerei e marittimi, danni da contagio, danni da farmaci, danni ambientali, privacy & data retention.

Francesco Meloni, Avvocato penalista del Foro di Torino, Studio Legale Associato Ambrosio & Commodo. Si occupa di diritto penale societario e di impresa, con particolare riferimento agli ambiti della responsabilità amministrativa degli Enti e delle persone giuridiche ai sensi del D.Lgs. n. 231 del 2001 e della salute e sicurezza sui luoghi di lavoro.

Introduzione

Una delle domande ricorrenti che vengono poste a Consulenti Tecnici e Giuristi riguarda il comportamento da tenere nei confronti del “dipendente infedele”, cioè nella situazione in cui l’azienda venga a scoprire o tema che uno dei propri dipendenti stia portando avanti attività di concorrenza sleale o comunque stia causando danni all’azienda. La domanda, tipicamente, verte sulle modalità con le quali i titolari possono commissionare un’analisi del PC e degli altri strumenti informatici in uso al dipendente sui quali, si presume, siano presenti le prove dell’infedeltà o della condotta lesiva. Gli autori dell’articolo, ricoprendo appunto i ruoli di Consulenti Tecnici e Giuristi, risponderanno al quesito esaminando aspetti, modalità tecniche di acquisizione dei dati e limiti dei cosiddetti “controlli datoriali” sugli strumenti informatici aziendali, tentando di districare la matassa e ragionando in termini di tutela del patrimonio aziendale, di difesa dei propri diritti, senza trascurare l’importanza delle policies nello svolgimento delle attività di controllo da remoto in tempo reale o in differita, del rispetto della Privacy e delle modalità tecniche di acquisizione e di conservazione delle evidenze probatorie.

Controlli datoriali sugli strumenti informatici aziendali in uso ai dipendenti

I controlli datoriali sugli strumenti informatici aziendali in uso ai dipendenti (acquisizione e analisi di archivi mail, analisi di account Skype o di messaggistica istantanea, acquisizione e analisi di cellulari, pc e tablet aziendali) nonché le modalità e gli strumenti con cui i medesimi vengono effettuati, costituiscono uno dei temi maggiormente delicati nello scenario dell’organizzazione aziendale, in quanto costituiscono il risultato di un’equazione le cui contrapposte espressioni devono necessariamente trovare un punto d’incontro; da una parte l’imprescindibile esigenza di tutela del patrimonio aziendale e l’interesse del datore di lavoro – che può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 c.c) e, dall’altro, la tutela dei dati personali dei dipendenti (art. 11 D.Lgs 196/2003).

Se da un lato i controlli datoriali, sia preventivi che successivi, danno la possibilità all’azienda di verificare l’operato dei dipendenti e, in ipotesi di c.d. “infedeltà”, di raccogliere riscontri probatori tali da giustificare l’allontanamento del dipendente – e idonei a essere producibili innanzi le competenti autorità giudiziarie – dall’altro gli stessi devono essere adottati e adeguatamente strutturati in una policy interna (di cui gli interessati devono essere compiutamente informati) che ne definisce le modalità ed i limiti nei minimi termini, nel rispetto dei generali principi di necessità, finalità, legittimità, correttezza, proporzionalità e non eccedenza.

Tali controlli, comportando anche deroghe a diritti e a garanzie di rango costituzionale poste a tutela dei lavoratori (in particolar modo ogni qualvolta i controlli coinvolgano la corrispondenza elettronica), indipendentemente dalla fondata sussistenza di profili di “infedeltà”, devono essere limitati nel tempo e nell’oggetto, mirati e fondati su presupposti tali da legittimarne l’esecuzione, pena l’inutilizzabilità dei risultati, l’esposizione a pesanti sanzioni pecuniarie per violazione del trattamento dei dati nonché a eventuali conseguenze di natura penale.

La costante casistica desumibile dai provvedimenti del Garante Privacy, relativa alle procedure di controllo sull’operato dei dipendenti, è conforme nell’accordare all’azienda ampi spazi di movimento, sia nelle procedure ordinarie che in quelle mirate a individuare comportamenti illeciti, purché:

  • le procedure di controllo vengano cristallizzate in una policy aziendale (formata secondo le linee guida per la protezione dei dati personali n. 13 dell’1 marzo 2007 secondo cui, giova ribadirlo, “i dirigenti dell’azienda accedono legittimamente ai computer – ed agli altri dispositivi – in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione”), il cui ruolo rimane centrale per disciplinare in modo puntuale l’utilizzo degli strumenti elettronici affidati in dotazione ai lavoratori.
  • che vengano rispettati i principi generali in materia di trattamento dei dati sopra enucleati, la cui importanza intrinseca è stata peraltro recentemente ribadita anche dopo la riforma dei controlli datoriali operata dal Jobs Act (e anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice Privacy).
  • che le risultanze investigative o di controllo vengano acquisite secondo le best practices della Digital Forensics – di cui si parlerà infra – in quanto le sole a garantire l’immodificabilità del dato originale e quindi la piena valenza probatoria. Tale aspetto assume rilevanza estrema, in particolare nel caso in cui la raccolta dei dati sia prodromica a un’azione giudiziale, sia civile che penale.

Il D.Lgs n. 151/2015, lo Statuto dei Lavoratori e l’utilizzabilità dei dati raccolti

La recente entrata in vigore del D.Lgs. n. 151/2015, emanato in attuazione della delega contenuta nel Jobs Act, ha sensibilmente innovato l’originaria cornice normativa dei controlli datoriali a distanza sul luogo di lavoro.

Secondo la precedente formulazione dell’art. 4, Statuto dei lavoratori, gli impianti di controllo potevano essere installati dal datore di lavoro esclusivamente in presenza di specifiche esigenze organizzative, produttive o di prevenzione di infortuni sul luogo di lavoro.

Traducendo in dato normativo un orientamento ermeneutico recentemente ribadito dalla giurisprudenza della Corte di Cassazione (si veda, da ultimo, Cass., Sez. Lav., 17 febbraio 2015, n. 3122), la riforma del 2015 ha ampliato il novero dei requisiti oggettivi sottesi all’installazione di impianti audiovisivi sul luogo di lavoro o di apparecchi di controllo a distanza, includendovi espressamente la finalità di tutela del patrimonio aziendale.

Allo stato attuale, pertanto, hanno trovato pieno ed espresso riconoscimento i controlli di natura difensiva, volti a prevenire e ad accertare l’eventuale realizzazione di attività illecite poste in essere dai propri lavoratori o da soggetti terzi.

Permane, nella vigente formulazione dell’art. 4, Statuto dei lavoratori, l’obbligo di rispettare taluni adempimenti formali, quali il raggiungimento di un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in alternativa, il conseguimento della prescritta autorizzazione rilasciata dalla competente Direzione territoriale del lavoro.

L’estensione del potere di sorveglianza del datore di lavoro si affianca a un’ulteriore importante novità, prevista dall’ultimo comma dell’art. 4, Statuto dei lavoratori.

Quest’ultima disposizione, facendo seguito a un costante orientamento interpretativo elaborato dalla Corte di Cassazione, ha espressamente sancito l’utilizzabilità delle informazioni e dei dati acquisiti mediante le attività di controllo a distanza a qualsiasi fine connesso al rapporto di lavoro.

A tal fine, è in ogni caso imprescindibile il rispetto degli adempimenti imposti dal Codice della Privacy e delle raccomandazioni impartite dall’Autorità Garante per la protezione dei dati personali. Primi fra tutti, l’adozione e l’attuazione di idonee policies aziendali e l’adeguata informazione ai lavoratori in merito alle modalità di esecuzione dei controlli.

Le risultanze degli accertamenti e delle attività di sorveglianza, dunque, sono pacificamente utilizzabili sia in sede disciplinare, sia nell’ambito del procedimento penale, quale prova documentale di eventuali condotte penalmente rilevanti.

Per contro, i requisiti oggettivi e gli adempimenti formali prescritti dall’art. 4 dello Statuto dei lavoratori non si applicano in relazione ai controlli datoriali esercitati sugli strumenti di lavoro in uso ai dipendenti per lo svolgimento della prestazione lavorativa.

Trattasi di una novità di grande rilievo, introdotta dallo stesso D.Lgs. n. 151/2015: in tali casi l’installazione è libera, fermo restando, naturalmente, l’obbligo di rispettare gli adempimenti imposti dalla normativa sulla Privacy.

Sul piano dell’utilizzabilità, nell’ambito del processo penale, dei dati e delle informazioni acquisite tramite l’espletamento di controlli datoriali a distanza, occorre richiamare i seguenti principi, da ultimo confermati all’interno di una recentissima pronuncia della Corte di Cassazione (Cass. Pen., Sez. II, 16 giugno 2015, n. 24998):

  • sul piano normativo, non esiste ad oggi uno standard prestabilito per la metodologia di trattamento e di analisi delle prove informatiche;
  • l’estrazione dei dati informatici archiviati su un computer o su altri dispositivi informatici non costituisce accertamento tecnico irripetibile ai sensi dell’art. 360 c.p.p., trattandosi di operazione meramente meccanica, riproducibile per un numero di volte indefinito;
  • nell’effettuare le operazioni di estrazione dei dati, è necessario adottare misure tecniche idonee ad assicurare la conservazione dei dati originali e a impedirne l’alterazione;
  • ove possibile, è opportuno procedere alla duplicazione dei dati su adeguati supporti informatici, mediante procedure idonee ad assicurarne la conformità della copia all’originale e la sua immodificabilità

Modalità tecniche di acquisizione del dato informatico

Dal punto di vista tecnico, per l’acquisizione del dato informatico valgono le best practices della digital forensics, il ramo della scienza forense che studia le fasi d’identificazione, acquisizione, conservazione, analisi e reportistica nell’ambito dei dispositivi digitali. E’ importante, quando possibile, per il Consulente Tecnico muoversi in accordo con un eventuale Studio Legale che assista l’Azienda, a seguito di nomina ad esempio per l’espletamento di indagini difensive. In genere la nomina può essere motivata dall’esigenza di proteggere asset/informazioni aziendali, eventualmente rafforzata da elementi che diano adito a credere che sia in corso una data exfiltration o comunque un comportamento scorretto da parte di un dipendente. Si raccomanda anche il rilascio, da parte dell’Azienda, di una lettera d’incarico che specifichi l’ambito dell’attività, obblighi del cliente e del fornitore, autorizzazioni, condizioni e termini del trattamento dei dati personali, oltre alle opportune considerazioni in merito all’impianto recato dal Modello Organizzativo 231, ove presente, con riferimento alle disposizioni di parte generale e di parte speciale.

Una volta chiariti gli aspetti formali, l’attività di acquisizione segue l’iter standard che prevede innanzitutto l’identificazione del dispositivo di cui deve essere eseguita copia forense, con verbalizzazione e possibilmente documentazione fotografica della postazione di lavoro, del computer e del disco o dei dischi in esso contenuti. La copia forense – ricordiamo – consiste nella duplicazione integrale di tutto il contenuto del dispositivo, a livello di bit e non di file, partendo dal primo settore del disco fino all’ultimo, coinvolgendo quindi aree contenenti file ancora presenti sul sistema e aree dove invece ci sono informazioni rimaste intatte di file ormai cancellati.

  • Se il Consulente possiede un write blocker (strumento che permette il collegamento di un hard disk a un computer in modo “sicuro” senza rischi di scritture accidentali) può aprire il case del PC, estrarre il disco e collegarlo al suo computer per avviare la fase di copia. Spesso al posto dei write blocker si utilizzano copiatori forensi, strumenti più evoluti che permettono la copia ad alta velocità di un disco sorgente su di uno di destinazione, senza bisogno di un computer che si ponga da interfaccia.
  • Nel caso in cui tali strumenti non siano disponibili, oppure sia difficile estrarre fisicamente l’hard disk dal PC, ci si può avvalere di sistemi software per avviare il computer del dipendente mediante un Sistema Operativo esterno che permetta l’accesso e la copia del disco interno senza comprometterne l’integrità. Il sistema infatti funge da write blocker e copiatore forense software, con la differenza che non si sta utilizzando uno strumento esterno ma è lo stesso PC contenente il disco che provvede ad accederne al contenuto in maniera sicura. Esistono al mondo diversi sistemi di questo genere, definiti per tradizione “Live CD” ma che ora possono essere utilizzati anche sotto forma di pendrive USB: in Italia abbiamo DEFT o CAINE e all’estero PALADIN o RAPTOR, basate su sistema Linux, ma esistono altre varianti come WinFE basate su OS Windows o persino vecchie versioni di RAPTOR.
  • Il risultato della copia sarà un file, grande quanto il disco acquisito, che contiene ciò che viene comunemente definito “immagine forense”, poiché contiene una copia speculare detta “immagine” creata a fini “forensi”, cioè per diventare una potenziale “prova” in ambito giudiziario penale o civile.
  • Sulla copia dovranno essere calcolati almeno due codici, chiamati “valori hash”, che costituiscono una sorta di firma univoca o meglio d’impronta digitale del disco così come è stato acquisito, finalizzata ad attestarne l’integrità nel tempo. Il tempo è proprio un elemento che va “congelato”, apponendo a questi due valori una data certa, o timestamp digitale, impresso ad esempio tramite il servizio offerto da operatori come Infocert, Aruba, etc… che può essere arricchito da eventuale firma digitale di chi ha eseguito l’operazione di copia.

Il timestamp serve per poter attestare in maniera incontrovertibile che il disco è stato acquisito in una tale data, con i contenuti anch’essi certificati a catena e che quindi a tale data esistevano. In passato si usava stampare i valori hash su carta e fare apporre data certa presso il Servizio Postale, così come si usava procedere per certificare i DPS: fortunatamente l’evoluzione digitale permette ora di eseguire la procedura dal proprio PC, opportunamente connesso alla rete e a un servizio di marca temporale. Chi non possiede un servizio di timestamping può utilizzare, più semplicemente, la PEC, inviando al proprio indirizzo una messaggio di posta elettronica certificata contenente i valori hash calcolati sull’immagine forense acquisita.

Una volta duplicato il contenuto del disco, è consigliabile conservare comunque quello originale e, nel caso in cui non fosse possibile interromperne l’utilizzo, eseguirne un’immagine su un nuovo disco e inserire quest’ultimo nel computer. Questa precauzione talvolta può sembrare eccessiva, ma in caso di contenzioso poter disporre anche del supporto originale può essere un punto a favore dell’Azienda.

Conclusioni

Come da premessa, la tematica dei controlli datoriali è stata trattata in modo da offrire una panoramica delle possibilità, dei limiti e dei campi d’azione tecnici e giuridici, con l’obiettivo di guidare le aziende e i datori di lavoro nella scelta della migliore strategia difensiva funzionale alla tutela del patrimonio e dell’organizzazione aziendale. Ovviamente, tali valutazioni non possono in alcun modo prescindere da un’analisi attenta e accurata, che tenga conto delle peculiarità e delle caratteristiche del singolo caso concreto, specialmente per ciò che attiene agli aspetti prettamente giuridici della liceità e dell’utilizzabilità dei controlli e delle risultanze acquisite.

Sotto il profilo più propriamente tecnico, infatti, occorre dare atto che le procedure sono ormai piuttosto consolidate e condivise nella comunità scientifica.

Raccomandiamo quindi, a chi dovesse trovarsi nell’esigenza di eseguire controlli datoriali finalizzati a rilevare eventuali comportamenti scorretti o illeciti di un proprio dipendente, di rivolgersi al proprio Studio Legale di fiducia per condividere una linea di condotta che consenta di non incorrere in eventuali sanzioni penali o amministrative, nonché, ultimo aspetto ma non meno importante, di acquisire dati ed elementi probatori pienamente utilizzabili nell’ambito di procedimenti disciplinari, civili e penali.

Seminario “Dai bitcoin al narcotraffico”

Bitcoin, Narcotraffico e Investigazioni DigitaliSabato 2 luglio 2016, dalle ore 8:30 alle 14:00, si terrà presso la biblioteca del Palazzo della Provincia di Reggio Calabria in Via S. Francesco di Sales, 3, il seminario “Dai bitcoin al narcotraffico – Investigazioni e nuovi scenari digitali”.

Si parlerà, insieme all’amico Leonida Reitano, di investigazioni nel dark web, tecniche di bitcoin forensics e indagini sulle criptovalute con tracciamento delle transazioni e degli indirizzi spesso coinvolti in casi di truffa, furto, mercati illeciti o riciclaggio di denaro sporco, Social Media Intelligence, OSINT e investigazioni digitali.

L’evento è organizzato con la collaborazione della CONSAP – Confederazione Sindacale Autonoma di Polizia – di Reggio Calabria e la IPA – International Police Association – Sezione Italiana, XVIII Delegazione Calabria.

Il programma del seminario”Dai bitcoin al narcotraffico – Investigazioni e nuovi scenari digitali” è il seguente, la brochure è scaricabile da questo link:

  • 8:30: Apertura del convegno
  • 9:00: Investigazioni nel Dark Web (Paolo Dal Checco)
  • 10:00: Bitcoin, scenari operativi e tecniche di tracciamento (Paolo Dal Checco)
  • 11:10: pausa e question-time
  • 11:30: Social Media Intelligence e nuovi scenari investigativi (Leonida Reitano)
  • 12.30: Open Source Intelligence e investigazioni digitali (Leonida Reitano)
  • 13:30: pausa e question-time
  • 14:00: chiusura dei lavori

DFA Open Day 2016 a Milano

Martedì 28 giugno 2016 si terrà, a Milano, il consueto appuntamento annuale con il DFA Open Day, la giornata di seminario gratuita organizzata dall’Associazione “Digital Forensics Alumni” formata, attualmente, da corsisti ed ex-corsisti del Corso di Perfezionamento in “Computer forensics e investigazioni digitali” dell’Università degli Studi di Milano.

DFA Open Day 2016 a Milano

La conferenza si terrà presso l’aula Malliani dell’Università degli Studi di Milano, in via Festa del Perdono, 7 a Milano, dalle ore 08:30 alle ore 18:30. Per le iscrizioni è disponibile la pagina Eventbrite.

Aula Malliani - Università degli Studi di Millano

La locandina dell’evento è disponibile a questo link, durante il seminario l’Associazione ONIF – Osservatorio Nazionale per l’Informatica Forense – presenterà i risultati della Survey 2015 sulla figura professionale dell’Informatico Forense, cioè colui che esegue attività di perizia informatica forense per professione. Della professione d’informatico forense si dibatterà anche nel corso della tavola rotonda finale, con la partecipazione di esperti di digital forensics in ambito tecnico, giuridico e investigativo. Durante la giornata si parlerà anche di ransomware, Smart Contract, indagini OSINT su fonti aperte e Social Network Analysis (SNA), automotive e diverse problematiche legate alla digital forensics e investigazioni digitali.

L’agenda della conferenza DFA Open Day 2016 di Milano è la seguente:

8.30 – 9.00 Registrazione partecipanti

9.00 – 9.30 Saluti iniziali e presentazione attività DFA
Avv. Valerio Vertua, Presidente Consiglio DFA
Prof. Avv. Pierluigi Perri, Coordinatore Corso di perfezionamento in computer forensics e data protection, Università degli Studi di Milano
Dott. Mattia Epifani,Coordinatore del progetto traduzione EEG

9.30 – 10.30 Presentazione a cura degli sponsor

10.30 – 11.00 Introduzione agli aspetti giuridici degli Smart Contract
Ing. Marco Carlo Spada, Consigliere DFA, Digital forensics analyst
Avv. Maria Letizia Perugini, Dottoranda in diritto e nuove tecnologie CIRSFID UNIBO

11.00 – 11.30 Pausa caffè

11.30 – 12.00 Continuous monitoring efficace degli eventi di sicurezza: un caso concreto di successo
Ing. Roberto Obialero, Senior ICT security advisor

12.00 – 12.30 Social Network Analysis e OSINT nelle attività d’indagine
Dott. Alessandro Massaro,
Dott. Fabio Mele, Digital forensics analyst

12.30 – 13.00 Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware
Dott. Paolo Dal Checco, Digital forensics analyst
Avv. Giuseppe Vaciago, Avvocato

13.00 – 14.00 Pausa pranzo

14.00 – 15.30 Consegna dei diplomi Corso di perfezionamento in computer forensics e data protection e presentazione tesi

15.30 – 16.00 L’auto connessa: una pessima idea
Ing. Alessandro Guarino, Digital forensics analyst

16.00 – 16.30 ONIF Survey 2015: la figura dell’informatico forense in Italia
Dott. Alessandro Borra, Digital forensics analyst

16.30 – 16.45 Coffee break

16.45 – 18.00 Tavola rotonda “La figura professionale dell’informatico forense”
Avv. Donato La Muscatella, Consigliere DFA, Avvocato
Prof. Avv. Pierluigi Perri, Università degli Studi di Milano
Ing. Paolo Reale, Digital forensics analyst e Presidente Associazione ONIF
Ing. Michele Vitiello, Digital forensics analyst e socio Associazione ONIF
Prof. Avv. Giovanni Ziccardi, Università degli Studi di Milano

18.00 – 18.15 Considerazioni finali e saluti

DFA Open Day 2016 è stata organizzata con il patrocinio di Clusit, CSA Italia, Associazione DEFT, IISFA, ONIF, Oracle Community for security, Tech & Law.

Il tuo sito fa blackhat SEO spam e tu non lo sai

Negli ultimi giorni numerosi siti sono stati infettati al fine di indicizzare, tramite tecniche di blackhat SEO spam, pagine che portano i visitatori verso siti per adulti a contenuto pornografico o di azzardo a seguito di un attacco che ha sfruttato, in molti casi, uno 0-day presente nel plugin WordPress WP Mobile Detector. Ovviamente il tutto all’insaputa dei proprietari, che rischiano di accorgersene anche dopo settimane o mesi ignorando il fatto che parte dei visitatori che arriveranno sul loro sito tramite motori di ricerca verranno rediretti su pagine come questa.

Hack WP Mobile Detector (gopni3g)

La vulnerabilità sfruttata dagli attaccanti è quella presente nel plugin WP Mobile Detector, resa nota allo sviluppatore il 29 maggio ma utilizzata già da diversi giorni per bucare siti web e fare in modo, tramite tecniche di blackhat SEO, che Google, Bing e i motori di ricerca indicizzino e portino i visitatori tramite redirect verso pagine a contenuto esplicito contenute su server esterni.

Il blackhat SEO, come indica Google stesso nelle sue “Informazioni sull’ottimizzazione per i motori di ricerca” [WBM] all’interno della Guida di Search Console, indica le “Le tecniche illecite o bad practice che violano le istruzioni per i webmaster e manipolano i motori di ricerca per cercare di far avere una posizione migliore a un sito”. Ovviamente non sempre si tratta di un sito ma, spesso, il blackhat SEO permette di portare visitatori a siti e pagine esterne estranee all’argomento cercato, ingannandoli grazie al cloacking (es. un navigatore cerca “scarpe da ginnastica”, vede un link che parla di scarpe da ginnastica, clicca e finisce su un sito per adulti).

Blackhat SEO Spam secondo Google

Precisiamo, per correttezza, che i siti verso i quali puntano i vari redirect non sono in alcun modo responsabili degli attacchi e spesso sono loro stessi all’oscuro della fonte delle visite che ricevono. In realtà sono essi stessi vittime della frode chiamata “click fraud”, legata ai click a pagamento che tali siti sono disposti a pagare agli affiliati per portare visite su loro sito. In sostanza, tramite legami di affiliazione, i siti con le landing page che vengono mostrate al termine della catena di redirect pagano alcuni intermediari per portare, tramite adversiting, visite sul loro siti. Le visite ovviamente dovrebbero provenire da banner su siti a contenuto simile, forum, advertising, etc… mentre invece nel caso della click fraud provengono da click generati con l’inganno, appunto portando visitatori ignari su siti web bucati che poi li redirigono verso i clienti finali.

L’infezione si propaga sfruttando un baco del plugin WP Mobile Detector che permette di passare come parametro POST un file ospitato su siti esterni e caricarlo nel folder “cache”. In particolare, viene scaricato tramite una chiamata alla risorsa “/wp-content/plugins/wp-mobile-detector/resize.php” o “/wp-content/plugins/wp-mobile-detector/resize.php” (che include resize.php) il file offuscato hxxp://copia[.]ru/mig/tmp/css.php [WBM], che attiva poi il download del payload che si occupa di attivare l’indicizzazione su Google e i motori di ricerca (chi è interessato all’analisi del payload offuscato in php, può trovarne copia a questo link).

File resize.php del plugin WP Mobile Detector

Si precisa che è possibile rilevare numerosi siti infetti che non utilizzano la piattaforma CMS WordPress né il plugin WP Mobile Detector, sono in fase di analisi alcune casistiche per capire se l’infezione si è propagata a livello di webserver partendo da siti WordPress infetti o tramite altre vie d’ingresso.

Sono stati compromessi migliaia di siti, di ogni genere: siti di Comuni, aziende, scuole, blog italiani e di tutto il mondo e, ancora oggi, 10 giorni dopo l’infezione di massa, molti siti sono ancora infetti perché i proprietari non si sono accorti di nulla.

Come posso verificare se il mio sito è stato compromesso?

Non sempre questo hack causa disservizi evidenti al sito web, è quindi facile che un sito sia stato compromesso e il proprietario non se ne accorga anche per giorni o mesi. Per capire se il vostro sito è stato compromesso esistono però diverse soluzioni, vediamone alcune.

Verificare la presenza di una cartella dal nome “gopni3g” nella root del webserver

In genere l’infezione si manifesta con la presenza della cartella “gopni3g” nella root del webserver, accompagnata dal file “gopni3g.zip” che contiene il folder che attiva il blackhat seo spam sul server. Il folder “gopni3g” non è l’unico lasciato dall’infezione, in diversi casi è stata riscontrata la presenza delle cartelle “dyonp7g”, “norxi4s” o “lrob5l”.

Se potete accedere ai file del webserver via FTP o filemanager web, verificate la presenza di cartelle anomale o archivi ZIP che non fanno parte del vostro sito o template. Se potete visualizzare le date di ultima modifica, ordinate i file in modo da portare in alto quelli modificati di recente che saranno con buona probabilità quelli eventualmente colpiti dall’hack del plugin WP Mobile Detector.

In base alle impostazioni di directory listing del webserver, è possibile anche verificare la presenza della cartella gopni3g direttamente via web tramite un browser, come possiamo osservare su questo sito ancora compromesso.

Folder gopni3g tramite directory listing sul webserver

La cartella “gopni3g” contiene il file “story.php” e due cartelle, “par” e “templates”. Se le regole di directory listing non permettono l’accesso di fare browse della cartella, è sempre possibile verificare se è disponibile il download del file gopni3g.zip, accedendo tramite browser all’URL “www.mytestsite.it/gopni3g.zip”.

Ricercare su Google le pagine indicizzate tramite la query “site:www.mytestsite.it”

Una semplice ricerca tramite l’advanced search vi permette di verificare se sono presenti pagine che non fanno parte del vostro sito, eventualmente raffinando la ricerca con “site:www.mytestsite.it gopni3g” o aggiungendo al posto di gopni3g gli altri nomi man mano identificati.

Trovare hack gopni3g con Google advanced search operators

Purtroppo – o per fortuna – Google ha rilevato la diffusione di questo tipo di infezione e sta rimuovendo dai risultati di ricerca quelli legati a gopni3g, quindi pur essendo ancora presenti pagine infette è facile che non le troviate tramite Google. Motori di ricerca come DuckDuckGo o Bing stanno procedendo più lentamente al rilevamento e possono essere ancora utilizzati per elencare le pagine infette indicizzate sul proprio sito o su siti terzi.

Registrare il proprio sito su Google Search Console e attivare le notifiche

Google fornisce gratuitamente un servizio di monitoraggio della sicurezza del proprio sito, chiamato “Google Search Console” ma fino ad alcuni mesi fa “Google Webmaster Tools”. Per iscrivere il proprio sito è sufficiente registrarsi all’indirizzo fornito da Google e dimostrare il possesso del sito web caricando un file o modificando i parametri DNS, oppure dimostrando di aver configurato correttamente Google Analytics.

Google vi avviserà se sarete colpiti dall’hack blackhat SEO grazie alla segnalazione di “Aumento delle pagine di errore “404” sul sito”, poiché Google rileva centinaia o migliaia di URL che non vengono in realtà trovate sul server perché viene avviata una redirezione verso risorse esterne.

Aumento di pagine d'errore su Google Search Console a causa di gopni3g

Visualizzare il proprio sito come Google

Questo tipo d’infezioni modifica il sito in modo che i visitatori continuino a vederlo come sempre ma Google e i motori di ricerca lo vedano diverso, indicizzando appunto le migliaia di pagine di spam che puntano verso siti esterni. Questo tipo d’infezione è chiamato anche “conditional seo spam” o “conditional malware” e si basa sul riconoscimento, da parte del malware, dello User Agent del visitatore: quando è Google a visitare il sito il malware si attiva, quando è un utente normale il malware rimane inerte o si comporta in modo da redirigere l’utente verso siti esterni.

Una verifica importante è, quindi, quella di vedere il sito come Google, utilizzando uno dei seguenti metodi:

1) Utilizzare i plugin per Google Chrome o Mozilla Firefox disponibili nei vari repository, come User Agent Switcher per Chrome o User Agent Overrider per Firefox. Se vedete una homepage diversa da quella che siete abituati a vedere, significa che qualche script sta facendo cloacking del vostro sito web, cioè mostrando a Google una versione diversa da quella che vedono i visitatori.

Visualizza come Google utilizzando plugin Firefox o Chrome

Questo è un esempio di una homepage infetta dall’attacco gopni3g, si notano chiaramente i link di spam in grigio chiaro che ovviamente nella homepage non sono presenti.

2) Utilizzare la funzione “Scansione -> Visualizza Come Google “nella Google Search Console.

3) Utilizzare siti di visualizzazione header di richiesta e risposta HTTP come Web Sniffer, impostando “GoogleBot” come User Agent.

Il mio sito è stato compromesso, come posso rimediare?

Se il sito è stato compromesso, con alcune operazioni è possibile tornare operativi e ripristinare anche l’indicizzazione su Google e i motori di ricerca che, dopo l’infezione, sarà compromessa dalla presenza di materiale esplicito.

Ripristino dei file da backup o rimozione dell’infezione

la prima cosa da fare è rimuovere il folder “gopni3g” o quelli eventualmente creati dall’attacco, inclusi eventuali archivi ZIP. Se potete ripristinare da backup, in realtà, è meglio farlo, non è infatti certo che la rimozione manuale elimini qualunque infezione, potrebbero esserne subentrate altre dopo quella principale dovuta alla vulnerabilità del plugin WP Mobile Detector.

Aggiornate WordPress e tutti i plugin, per quanto riguarda WP Mobile Detector è stato rimosso dal repository e reinserito di recente ma ancora non è stato sufficientemente verificato. Se potete aspettare prima di riutilizzarlo è certamente consigliabile.

Ripristino della corretta indicizzazione da parte di Google e motori di ricerca

Una volta ripulito il sito web, è necessario informare Google (ed eventualmente Bing) che l’infezione è stata rimossa. Per farlo, è necessario accedere al proprio account Google Search Console e indicare a Google che abbiamo rimosso le anomalie (nel caso in cui Google segnali l’infezione) e verificato le pagine contenenti errori.

Accedete alla pagina “Scansione” -> “Errori di scansione” e verificate se Google ha rilevato errori di scansione. In caso affermativo, selezionate tutte le pagine d’errore legate all’infezione da gopni3g e cliccate su “segna come corretti”.

Rimuovere infezione gopni3g da pagine errore Google

Verificate, ovviamente, che le pagine d’errore restituiscano davvero errore e non facciano redirect verso siti esterni.

Importante verificare che il worm non abbia  modificato la sitemap fornendone a Google una falsata. La verifica può essere fatta sia accedendo al tipico percorso delle sitemap aggiungendo all’indirizzo la URI “sitemap.xml”, “sitemap.xml.gz” o “sitemap_index.xml” e verificando se il file robots.txt è stato alterato, includendo ad esempio una fake sitemap.

In ogni caso, per ripristinare o “rinforzare” la sitemap legittima, si può agire direttamente sulla Google Search Console, nella sezione “Scansione -> Sitemap”. Si può intanto verificare se Google ha acquisito una sitemap errata e, in ogni caso, inviarne una corretta tramite il comando “Aggiungi/testa sitemap”. Questo ovviamente se avete generato una sitemap a mano (sconsigliato e scomodo) oppure tramite i vari plugin SEO Sitemap XML disponibili per WordPress.

Upload sitemap su Google Search Console

Ovviamente quanto riportato per Google è fattibile anche tramite la piattaforma Bing Webmaster Tools di Microsoft, anche se tendenzialmente Google ha un impatto maggiore sull’indicizzazione dei siti web.

Il caso specifico vede l’indicizzazione su motori di ricerca compromessa da un attacco informatico ma, nei casi in cui fosse necessaria una Perizia SEO relativa all’ottimizzazione dei siti web per l’indicizzazione da parte dei motori di ricerca come Google, Bing e Yahoo, lo Studio è in grado di produrre analisi tecniche e perizie forensi anche giurate e asseverate che valutino i parametri e le caratteristiche delle attività legate all’indicizzazione del sito web.