Archivi categoria: formazione

Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali 2020

Nuova edizione per l’A.A. 2020/2021 del tradizionale Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali presso l’Università degli Studi di Milano, Facoltà di Giurisprudenza Dipartimento di Scienze Giuridiche “Cesare Beccaria” con una novità: quest’anno sarà interamente online.

Da ottobre 2020, tramite un sito basato su piattaforma Moodle, si potranno seguire le lezioni in maniera asincrona, nell’orario preferito dal discente, senza doversi recare in aula, con un notevole risparmio di tempo, costi e meno problemi legati al distanziamento sociale dovuto all’emergenza Covid-19 ancora in corso.

Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali

Argomenti e presentazione del Corso di Perfezionamento dell’Università di Milano

L’argomento di questo corso sarà la digital forensics, con approfondimenti sulle infedeltà del partner, del dipendente, del professionista e sulle frodi nelle piattaforme digitali.

Anche questo Corso di Perfezionamento in “Criminalità Informatica e Investigazioni Digitali” dell’Università degli Studi di Milano sarà coordinato dal Prof. Giovanni Ziccardi e avrà come obiettivo quello di formare esperti in grado di comprendere a livello teorico le principali problematiche criminali legate al mondo digitale ma anche d’intervenire su dispositivi e sui dati quali fonti di prova digitali, con particolare attenzione alle evidenze ricavabili da chat come Whatsapp, Telegram, dai social network come Facebook, Linkedin, Twitter e reti il tutto con un corretto approccio investigativo e con modalità impeccabili da un punto di vista tecnico d’informatica forense.

Particolare attenzione sarà dedicata, quest’anno, alla formazione dei discenti sulla raccolta, acquisizione e copia forense di prove digitali circa le infedeltà del partner, del dipendente e del professionista. Sarà prevista, altresì, l’analisi dettagliata di truffe sentimentali online, revenge porn ed estorsioni sessuali, nonché di truffe su aste online, phishing e attacchi informatici di altro genere.

I docenti del Corso si dedicheranno allo studio delle modalità di investigazione su account segreti, profili falsi e siti fake, con particolare riferimento ai dispositivi informatici e/o telematici più utilizzati.

Sarà prestata particolare attenzione alla protezione dei segreti industriali e dei dati aziendali riservati, soffermandosi poi sugli aspetti relativi alla tutela della reputazione online dell’azienda e del professionista, oltre ai doveri di fedeltà del dipendente e ai reati contro la Pubblica Amministrazione.

L’ultima parte del Corso sarà destinata allo studio delle fonti di prova digitali e alle modalità di indagine sulle diverse piattaforme, sia dal punto di vista tecnico sia teorico, poiché ormai buona parte delle prove in Giudizio sono tratte evidenze digitali, siano esse dati provenienti da hard disk, email, chat, pagine web, social network.

Verranno infine trattati i principali rischi e responsabilità penali dei professionisti e consulenti informatici forensi che si trovino ad operare in contesti investigativi, analizzando inoltre l’aspetto della presenza dei minori sulle piattaforme e le connesse responsabilità genitoriali.

In dettaglio, nella prima parte del corso si parlerà di prove digitali di infedeltà su WhatsApp e sui social, informazioni personali su fonti aperte (OSINT) e nei big data, investigazioni su account segreti, profili falsi e siti fake, Spionaggio, controllo degli adulti e dei bambini e captatori, truffe sentimentali, revenge porn ed estorsioni sessuali, pedinamenti elettronici, celle telefoniche e geo-localizzazione, analisi forense di smartphone e computer personali, come mantenere i dati segreti cifrando le informazioni e attaccandole, investigazioni digitali su iPhone e su iOS, investigazioni digitali su dispositivi Android, comportamenti insicuri e cybersecurity.

Nella seconda parte del corso, si parlerà di segreti industriali e protezione di dati aziendali riservati, reati informatici, Pubblica Amministrazione, Anticorruzione, intelligenza artificiale e algoritmi predittivi in ambito penalefiltri e l’utilizzo di strumenti quali VPN e Tor, reputazione aziendale e personale con strategie di creazione e di tutela, la natura del phishing, del ransomware e di altri attacchi, truffe sulle aste online e sui siti di vendita di prodotti, indagini difensive telematiche e OSINT, reati informatici e i reati contro la Pubblica Amministrazione, dovere di fedeltà del dipendente: casistica e tutele, anche nel lavoro agile.

Nella terza parte del corso, gli argomenti saranno i seguenti: acquisizione di fonti di prova digitali sulle piattaforme, indagini sulle piattaforme e sulle transazioni di criptovalute, whistleblowing e i suoi aspetti informatici e di sicurezza, diritto d’autore e la sua violazione sulle piattaforme, data breach: gestione emergenza e aspetti giuridici, diffusione di contenuti di revenge porn mediante falsi profili, minori sulle piattaforme e responsabilità genitoriali, intercettazioni telematiche e aspetti processualpenalistici, responsabilità penale dei professionisti e consulenti, Admin, DPO e CISO, criminalità finanziaria e riciclaggio.

Informazioni sul corso di perfezionamento in Criminalità Informatica e Investigazioni Digitali

Le 32 lezioni, di 2 ore ciascuna, saranno rese disponibili online dalla terza settimana del mese di ottobre sino alla terza settimana del mese di dicembre 2020 (19 ottobre – 18 dicembre). Le 64 ore di didattica che sono necessarie per completare il Corso saranno fruibili in modalità asincrona (negli orari preferiti dal discente) con modalità di verifica dell’apprendimento su una piattaforma Moodle dedicata.

Il corso si terrà sulla piattaforma Moodle dell’Ateneo di Milano utilizzata per la formazione post-laurea. Si noti che la fruizione in streaming di 64 ore di contenuti richiede una solida e stabile connessione alla rete, tariffe flat e un computer portatile o fisso di media potenza (la fruizione tramite smartphone o tablet può risultare ostica).

Il contributo d’iscrizione è di € 500,00 oltre alla quota assicurativa e imposta di bollo, pari a € 16,00, prevista dalla legge (Totale: 516,00 Euro).

Il Corso si rivolge ai possessori di laurea triennale o laurea magistrale. É possibile iscriversi secondo le modalità indicate nel bando di attivazione disponibile sul sito di Ateneo. Il sito dell’Università di Milano, nell’area dedicata al post-laurea, è al seguente indirizzo: https://www.unimi.it/it/corsi/corsi-post-laurea/master-e-perfezionamento/catalogo-corsi-di-perfezionamento.

Programma del Corso di Perfezionamento

Il programma del Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali, edizione 2020/2021, che si terrà interamente online, è il seguente:

Ottobre 2020 – Infedeltà del PartnerNovembre 2020 – Lavoro e ProfessionistaDicembre 2020 – Frodi e Piattaforme
Lezione #1 (2h): Prove digitali di infedeltà su WhatsApp e sui social, Paolo Dal CheccoLezione #12 (2h): Segreti industriali e protezione di dati aziendali riservati, Donato CaccavellaLezione #22 (2h): L’acquisizione di fonti di prova digitali sulle piattaforme, Francesco Cajani
Lezione #2 (2h): Informazioni personali su fonti aperte (OSINT) e nei big data, Pierluigi PerriLezione #13 (2h): Reati informatici, Pubblica Amministrazione, Anticorruzione, Chiara UbialiLezione #23 (2h): Le indagini sulle piattaforme e sulle transazioni di cryptovalute, Davide Gabrini
Lezione #3 (2h): Investigazioni su account segreti, profili falsi e siti fake, Silverio GrecoLezione #14 (2h): Intelligenza artificiale e algoritmi predittivi in ambito penale, Fabio BasileLezione #24 (2h): Il whistleblowing e i suoi aspetti informatici e di sicurezza, Angela Della Bella
Lezione #4 (2h): Spionaggio, controllo degli adulti e dei bambini e captatori, Federica BertoniLezione #15 (2h): I filtri e l’utilizzo di strumenti quali VPN e Tor, Claudio A. Ardagna e Nicola BenaLezione #25 (2h): Il diritto d’autore e la sua violazione sulle piattaforme, Francesco Paolo Micozzi
Lezione #5 (2h): Truffe sentimentali, revenge porn ed estorsioni sessuali, Alessia SorgatoLezione #16 (2h): Reputazione aziendale e personale: strategie di creazione e di tutela, Matteo Flora Lezione #26 (2h): I data breach: gestione emergenza e aspetti giuridici, Giuseppe Vaciago
Lezione #6 (2h): Pedinamenti elettronici, celle telefoniche e geo-localizzazione, Litiano PiccinLezione #17 (2h): La natura del phishing, del ransomware e di altri attacchi, Andrea LanziLezione #27 (2h): La diffusione di contenuti di revenge porn mediante falsi profili, Giulia Escurolle
Lezione #7 (2h): Analisi forense di smartphone e computer personali, Ferdinando DitarantoLezione #18 (2h): Le truffe sulle aste online e sui siti di vendita di prodotti, Davide D’AgostinoLezione #28 (2h): Minori sulle piattaforme e responsabilità genitoriali, Silvia Scalzaretto
Lezione #8 (2h): Mantenere i dati segreti: cifrare le informazioni (e attaccarle), Mattia MongaLezione #9 (2h): Investigazioni digitali su iPhone e su iOS, Mattia EpifaniLezione #10 (2h): Investigazioni digitali su dispositivi Android, Andrea GhirardiniLezione #11 (2h): Comportamenti insicuri e cybersecurity, Danilo BruschiLezione #19 (2h): Indagini difensive telematiche e OSINT, Giovanni Battista GallusLezione #20 (2h): I reati informatici e i reati contro la Pubblica Amministrazione, Barbara IndovinaLezione #21 (2h): Il dovere di fedeltà del dipendente: casistica e tutele, anche nel lavoro agile, Giuseppe MatarazzoLezione #29 (2h): Intercettazioni telematiche e aspetti processual-penalistici, Novella GalantiniLezione #30 (2h): Responsabilità penale dei professionisti e consulenti, Marco ScolettaLezione #31 (2h): Admin, DPO e CISO, Valerio VertuaLezione #32 (2h): Criminalità finanziaria e riciclaggio, Manfredi Bontempelli

Docenti del Corso di Perfezionamento

I docenti che parteciperanno con le loro lezioni al Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali presso l’Università degli Studi di Milano, Facoltà di Giurisprudenza Dipartimento di Scienze Giuridiche “Cesare Beccaria” sono i seguenti:

Giovanni Ziccardi, Pierluigi Perri, Danilo Bruschi, Claudio A. Ardagna, Mattia Monga, Andrea Lanzi, Fabio Basile, Novella Galantini, Manfredi Bontempelli, Angela Della Bella, Marco Scoletta, Silverio Greco, Paolo Dal Checco, Donato Caccavella, Giovanni Battista Gallus, Giuseppe Vaciago, Mattia Epifani, Davide D’Agostino, Matteo Flora, Ferdinando Ditaranto, Litiano Piccin, Davide Gabrini, Andrea Ghirardini, Francesco Cajani, Barbara Indovina, Francesco Paolo Micozzi, Giulia Escurolle, Valerio Vertua, Federica Bertoni, Silvia Scalzaretto, Alessia Sorgato, Giuseppe Matarazzo, Nicola Bena.

Locandina del Corso su Investigazioni Digitali

La locandina in formato PDF del corso Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali, organizzato dall’Università degli Studi di Milano, edizione 2020/2021 è disponibile al seguente link.

Locandina del Corso di PerfezionamentoDownload

Tavola rotonda sulla Privacy e le Indagini sulle Criptomonete per BlockchainDays

Dalle 17:30 alle 18:30 di giovedì 16 luglio 2020 si terrà online il panel dell’evento Blockchain Days come progetto Rinascita Digitale sulla privacy e le criptomonete, viste dal punto di vista giuridico e investigativo.

BlockchainDays - Privacy e criptomonete - Marco Tullio Giordano, Riccardo Masutti, Paolo Dal Checco

Con gli amici Riccardo Masutti e l’Avv. Marco Tullio Giordano, moderati da Alessandro Olivo in qualità di Co-founder BlockchainEdu, Partner & Advisor at Bcademy parleremo di come tutelare la propria privacy in ambito cryptocurrency, in particolare per quanto riguarda il protocollo Bitcoin, delle soluzioni di anonimizzazione come Coinjoin con Wasabi, delle best practice per gestire il proprio wallet in modo sicuro e riservato tenendo però nel contempo presente quali sono le potenzialità investigative offerte dal protocollo Bitcoin in termini di clusterizzazione, tracciamento e deanonimizzazione spesso utilizzate in ambito di perizia informatica e indagine digitale.

Vedremo come vengono gestiti i wallet SPV e i portafogli full node, valutando la sicurezza e privacy fornite dai diversi wallet e quali servizi e strumenti vengono messi a disposizione degli inquirenti per poter eseguire attività di bitcoin forensics e intelligence, presentando alcuni limiti e potenzialità investigative. Si parlerà poi di sequestro di bitcoin, confisca di criptomonete, questioni tecniche, investigative ma anche giuridiche relative ai reati informatici e ai protocolli DLT con l’Avv. Marco Tullio Giordano, Data Protection Officer, Co-founder di LT42 S.r.l. ed esperto di aspetti giuridici delle criptomonete e delle ICO.

Il programma della tavola rotonda sulla privacy del Bitcoin e delle cryptomonete farà parte del panel su Privacy e Certificazione che si terrà nel pomeriggio del 16 luglio, con il seguente programma:

Panel “Privacy e Certificazione” – Blockchain Days

16:30 – 17:30 Panel Certificazione e Notarizzazione

  • Enrico Talin – CEO at Commerc.io
  • Jacopo Sesana – COO at Blockchain Italia
  • Leonardo Comandini – Software Engineer at Blockstream
  • Modera: Massimiliano Nicotra – Senior Partner Qubit Law Firm

17:30 – 18:30 Panel Privacy

Perchè hai le tende a casa se non hai niente da nascondere? La privacy non è sinonimo di poca trasparenza ma di tutela e valorizzazione di se stessi e dei propri dati. Per questo motivo, anche la privacy finanziaria è molto importante. Durante il panel ascolteremo le opinioni di esperti del settore.

  • Marco Tullio Giordano – Avvocato, Data Protection Officer, Co-founder di LT42 S.r.l.
  • Paolo Dal Checco – Consulente Informatico Forense
  • Riccardo Masutti – Contributor and Marketing Strategist at Wasabi Wallet
  • Modera: Alessandro Olivo – Co-founder BlockchainEdu, Partner & Advisor at Bcademy

18:30 – 19:30 Panel Self Sovereign Identity

Self Sovereign Identity, modello di Identità Digitale abilitato dalla tecnologia Blockchain che permette agli utenti di divenire gli unici veri possessori delle proprie informazioni e dati personali. In breve verrà descritto lo Stato dell’Arte, con l’intervento delle più importanti realtà che stanno promuovendo questo modello sul territorio italiano. Una tavola rotonda che permetterà di comprendere meglio i vantaggi per l’utente e la rivoluzione che questo modello porta con se.

  • Daniele Citterio – CTO at Infocert
  • Egidio Casati – CEO at NYM
  • Francesco Bruschi – Head at Blockchain & Distributed Ledger Observatory at Politecnico di Milano
  • Pietro Lanza – General Manager Intesa IBM & Blockchain Director IBM)
  • Modera: Emanuele Coscia – Consultant at PwC, Membro del Consiglio Direttivo Associazione BlockchainEdu

Indagini Digitali su Bitcoin e Criptomonete per la Scuola GdF di Polizia Economico Finanziaria

Oggi si è tenuta la lezione del Corso Mercati Finanziari della Scuola di Polizia Economico Finanziaria della Guardia di Finanza alla quale ho contribuito – con il coordinamento dell’Università degli Studi di Milano – con la docenza della lezione su “Bitcoin e Criptomonete: Sicurezza, Indagini e Sequestro Giudiziario“.

Durante la lezione tenuta per la GdF ho parlato di argomenti legati al tracciamento, deanonimizzazione e analisi delle transazioni, indirizzi e wallet Bitcoin, ponendo le basi della bitcoin forensics e bitcoin intelligence, da cui poi derivano le attività di perizia e indagine digitale sulle altre criptomonete e altcoin, concludendo la trattazione con alcune informazioni relative alle attività di perquisizione e sequestro informatico, sia di dispositivi digitali (con successiva analisi forense dei contenuti) sia confisca e sequestro di bitcoin, wallet e criptomonete che sono uno degli argomenti che di recente ha destato maggiormente l’attenzione degli organi investigativi.

Indagini su Bitcoin e Criptomonete per la Scuola di Polizia Economico Finanziaria

Nel ringraziare l’Università degli Studi di Milano per l’ottima organizzazione, che ha permesso di poter tenere il corso anche da remoto in epoca di distanziamento sociale, non posso che confermare la preparazione dei partecipanti che hanno seguito con interesse il seminario sulle attività d’indagine digitale su bitcoin e cryptocurrencies, ponendo domande e sollevando problematiche di alto livello, a testimonianza del fatto che le Forze dell’Ordine e le Forze Armate stanno procedendo speditamente e al passo con i tempi nella gestione degli aspetti investigativi dei reati legati al mondo del Bitcoin e delle criptomonete.

Seminario Interforze su DarkWeb e Indagini sulle Criptomonete

Seminario Interforze su Analisi Dark Web e Cryptocurrency Forensics

Venerdì 3 luglio 2020 dalle ore 9 alle 18 si terrà online il seminario Lab4Int, quinta giornata del First Responder Course, su “DarkWeb Analysis”, con lo scopo di fornire agli operatori di FF.OO. e FF.AA. le basi investigative per eseguire analisi sulla rete Tor e sulle criptomonete, mediante tecniche di cryptocurrency forensics e intelligence.

La lezione che avrò il piacere di tenere, per questo seminario interforze, si svolgerà dalle 9 alle 11 e riguarderà le basi delle criptomonete, in particolare del bitcoin, con approfondimenti sulla bitcoin forensics e intelligence, le possibilità di tracciamento, clusterizzazione di wallet e indirizzi, deanonimizzazione e attività investigativa in ambito cryptocurrency. Verranno fatti alcuni cenni anche sulle possibilità di confisca e sequestro di bitcoin e altre criptomonete tra le più utilizzate, mostrando i limiti e le modalità tecniche con cui vengono eseguite le attività di sequestro delle criptomonete.

A segure, Daniele Pricchiazzi terrà alcune ore di lezione su Tor, il Dark Web, l’anonimato e la possibilità di eseguire ricerche e profilazione nella rete, presentando alcuni casi pratici, tecniche d’indagine e metodologie di tracciamento.

Verifica di manipolazioni e perizia su falsificazione di messaggi di posta elettronica

E’ stato pubblicato oggi su Youtube il video del mio workshop del 30 maggio per l’HackInBo Safe Edition, durante il quale ho mostrato come – in ambito di attacchi di tipo Business Email Compromise o Man in The Mail – possono avvenire delle manipolazioni con sostituzione degli allegati di posta tramite connessione IMAP, finalizzati a persuadere il destinatario a emettere bonifici su conti IBAN fraudolenti. Fortunatamente, tramite tecniche di email forensics e strumenti open source come Thunderbird (eventualmente con l’ausilio di alcuni plugin), Notepad++, Curl e una conoscenza specifica di alcuni aspetti del protocollo IMAP queste manipolazioni possono essere rilevate e identificate con precisione dal consulente informatico forense, al fine di produrre una perizia informatica sulle manipolazioni delle caselle di posta e sui messaggi di posta elettronica, anche PEC.

HackInBo - Verifica manipolazione e falsificazione messaggi di posta elettronica PEC o email

Nel video girato durante la giornata di HackInBo Safe Edition pubblicato su Youtube si può seguire in dettaglio l’ora di workshop e, volendo, anche riprodurne le attività tecniche simulando un’azione di di falsificazione di messaggi e allegati di posta con successiva perizia informatica di analisi forense tramite analisi del sorgente RFC 822, princìpi del protocollo IMAP e firme DKIM, predisponendo quanto segue:

  1. Mozilla Thunderbird (client di posta elettronica, preferibile in versione portable);
  2. DKIM Verifier (estensione per Thunderbird che permette di verificare firme DKIM);
  3. Notepad++ (editor di testi versatile e open source)
  4. CURL (strumento per scaricare risorse da diversi protocolli internet, incluso IMAP)
  5. mpack/munpack (tool per estrarre o inserire manualmente allegati da un messaggio di posta elettronica)
  6. openssl (software utile per convertire gli allegati ai messaggi di posta da e verso codifica base64)
  7. un paio di account di posta elettronica che supportino il protocollo IMAP, come ad esempio GMail

Buona parte degli strumenti elencati sopra sono utilizzabili su distribuzioni Linux – come ad esempio Tsurugi Linux – ma anche su Windows (tramite binari compilati in Win32/64 oppure tramite WSL) o ancora su Mac OS (mediante homebrew/macports). Si consideri che le valutazioni esposte durante il workshop sono pienamente applicabili anche alla verifica di manipolazioni e originalità di messaggi di posta elettronica certificata PEC.

Il workshop si apre con un esempio di manipolazione e falsificazione di messaggi di posta elettronica, con il fine di cambiarne contenuti o sostituirne l’allegato. La particolarità è che l’alterazione fraudolenta non avviene soltanto su una copia sul PC del messaggio di posta, ma va a modificare il messaggio originale presente sul server di posta elettronica, in modo tale che anche accedendo alla webmail o scaricando la posta da un’altra postazione, si ottenga il messaggio manipolato e non più quello originale. Questo è, tra l’altro, esattamente ciò che avviene durante alcuni tipi di attacco Man in The Mail o Business Email Compromise (MiTM/BEC) durante il quale la vittima non si accorge che l’allegato su cui è indicato l’IBAN del conto bancario verso cui disporre il bonifico di pagamento della fattura del fornitore è stato modificato.

La manipolazione dell’email o PEC avviene in modo piuttosto semplice: si salva il messaggio in locale tramite la funzione di “Salva come…” di Thunderbird che permette di salvare il messaggio di posta elettronica in formato EML, che poi non è altro che un file di testo. Per fare una manipolazione del testo di un messaggio di posta elettronica o alterare in maniera fraudolenta elementi come data, ora, mittente, destinatario, oggetto, etc… è sufficiente aprire il file con un editor come Notepad++ e cambiare le parti che si desidera alterare, salvando successivamente il file. Aprendo il file EML su Thunderbird (è sufficiente cliccare due volte sul nome del file) si nota già che le alterazioni sono state applicate, ovviamente soltanto in locale sul PC e non sul server.

È leggermente più complicato fare una modifica fraudolenta all’allegato di un messaggio di posta elettronica, perché è necessario identificare il punto del file EML in cui si trova (è sufficiente aprire il file con un editor) e sostituirlo con il nuovo allegato, codificato in base64. La codifica del nuovo allegato (quello che, nel caso di attacchi BEC, contiene l’IBAN del conto bancario dei criminali) si può fare sia tramite comando openssl, sia creando una nuova mail con il comando mpack e copiando poi soltanto la parte con l’allegato nel messaggio di posta che vogliamo manipolare. Per sostituire un allegato/attachment di posta elettronica il criminale può quindi quindi procedere come segue, tramite il comando openssl che converte in base64 il nuovo PDF oppure tramite il tool mpack che crea un nuovo messaggio di posta dentro il quale viene allegato il PDF fraudolento, che poi si andrà a copiare e incollare nel nuovo messaggio EML.

Sostituire un allegato a messaggio di posta con mpack o openssl

Una volta ottenuto il messaggio con testo e/o allegato manipolato, il passo successivo che fanno i delinquenti è quello di riposizionare il nuovo messaggio sul server di posta eliminando quello originale, in modo chi dovesse scaricare l’email o accedere alla casella di posta non si accorga di nulla. Questa operazione è fattibile, sempre con Thunderbird, con un passaggio strategico che consiste nel cancellare il messaggio originale, aprire il messaggio fraudolento presente sul PC e posizionarsi sul menù di Thunderbird alla voce “Messaggio -> Copia in -> [account di posta configurato in IMAP] -> Posta in arrivo“. In questo modo, il messaggio di posta manipolato andrà a sostituire quello originale anche da parte di chi accede via webmail, perché la modifica è avvenuta sul server. La cosa rilevante è che il caricamento di un messaggio di posta sul server può essere fatto sia nella Inbox, contenente la Posta in Arrivo, ma anche nella Outbox, cioè nella cartella della Posta Inviata.

Alterazione e manipolazione di email su server IMAP

Un malintenzionato può quindi sostituire il contenuto di un messaggio o del suo allegato sia nella posta inviata sia in quella ricevuta, ma allo stesso modo può creare un messaggio e posizionarlo in posta inviata anche se tale email non è mai esistita, allo stesso modo in cui può creare una mail e posizionarla in posta ricevuta quando in realtà non è mai stata ricevuta. Da un’analisi della casella di posta, entrambi i messaggi sembrerebbero del tutto originali e integri, in particolare se il malintenzionato facesse attenzione a utilizzare header RFC822 coerenti (prendendoli, ad esempio, da messaggi realmente esistenti e se possibile inviati o ricevuti dallo stesso soggetto dell’email manipolata).

Si noti che in alcuni casi, la cancellazione via client di posta non è effettiva ma tiene in cache la mail che può poi essere ripristinata dalla mailbox anche se ne andiamo a ricaricare una leggermente diversa: si consiglia quindi di eliminare il messaggio tramite webmail oppure accertarsi che la cancellazione via IMAP abbia avuto effetto. Nel video si vede che dopo la cancellazione via IMAP e il caricamento del messaggio di posta manipolato, tramite la webmail viene mostrato ancora il vecchio messaggio originale, che invece viene sostituito da quello nuovo se la cancellazione avviene direttamente all’interno della webmail.

Questa sostituzione chiaramente si può applicare anche a messaggi di posta inviati, alterandone quindi il destinatario, contenuto, allegati, oggetto e facendo credere a chi dovesse accedere alla mailbox sul server che la mail sia originale e così sia stata inviata.

Importante sottolineare che, dal punto di vista del sorgente RFC822, cioè della costruzione del messaggio in termini d’intestazione (header), corpo (body) e allegati (attachment) una email così manipolata non è facilmente distinguibile ad una originale anzi, spesso non presenta differenze rispetto a una mail originale e quindi una perizia informatica potrebbe attestare la validità del messaggio quando in realtà si tratta di un’email falsificata e manipolata.

A questo punto, entra in gioco il consulente informatico forense, che viene chiamato per redigere una perizia informatica a seguito di analisi tecnica della mailbox, così da accertare la presenza di manipolazioni o alterazioni o, al contrario, l’integrità e originalità del messaggio di posta elettronica. La seconda fase del video è proprio relativa all’attività di verifica delle manipolazioni dei messaggi di posta elettronica ordinaria (PEO) tramite l’utilizzo di strumentazione open source e metodologie basate sui princìpi del protocollo IMAP.

Fortunatamente, le manipolazioni ai messaggi di posta elettronica possono non lasciare tracce a livello RFC822 ma ne lasciano quasi sempre a livello di metadati IMAP, permettendo quindi al perito informatico di analizzare diversi elementi per accertare l’integrità o meno della corrispondenza, sia essa via posta elettronica tradizionale o PEC, redigendo una perizia informatica forense di acquisizione forense e analisi investigativa.

Innanzitutto, una verifica che il consulente informatico forense può fare durante la sua indagine digitale è quella di accertare l’integrità della firma DKIM, che viene apposta in automatico ad esempio da parte della casella di posta Gmail. La verifica della firma DKIM si può fare sia sulla webmail (ad es. Gmail mostra il messaggio “firmato da: gmail.com” per i messaggi la cui firma viene verificata) oppure tramite plugin come DKIM Verifier, che aggiungono una riga alle instestazioni della mail che si vedono a schermo che riporta se la firma è valida oppure invalida, precisando in tal caso che “la mail è stata modificata”. Questa verifica ovviamente è fattibile nei casi in cui il server del mittente appone firma DKIM ai messaggi di posta uscenti.

Passando invece al protocollo IMAP, le verifiche che possiamo fare sono almeno due. Il primo è il controllo del campo “ordine ricezione” (“order received”) della mail oggetto di verifica confrontando il numero con il messaggio prima e quello dopo. Tale campo – non presente nel messaggio che viene scaricato in formato RFC822 EML o MSG – viene comunicato dal protocollo IMAP quando il client accede al messaggio ed è un numero ordinale che viene attribuito dal server a ogni messaggio, in genere univoco per cartella. La inbox avrà così un messaggio con Order Received (talvolta definito anche IMAP UID) 341, il messaggio successivo sarà 342, poi 343, 344 e così via. Se il messaggio con UID 342 a un certo punto viene alterato, cambia il codice e ne assume uno nuovo “saltando” quindi in avanti e superando quelli arrivati dopo di lui. Un’analisi della linearità dei numeri IMAP UID quindi permette già in diversi casi di rilevare una modifica postuma a un messaggio, fatta anche a livello server tramite caricamento dei file via IMAP.

Ulteriore controllo che l’informatico forense può fare, avendo accesso al server, è quello della verifica dell’integrità del campo INTERNAL DATE, che contiene la data marchiata dal server nel momento in cui il messaggio di posta oggetto di analisi è stato inviato o ricevuto dal server, in sostanza quando è stato salvato su disco. Anche in questo caso, se un messaggio del 30 maggio viene modificato il 3 giugno, il suo INTERNAL DATE passerà al 3 giugno, cosa che non ha senso se la data d’invio o ricezione della mail rimane 30 maggio.

L’accesso al dato INTERNALDATE è più complicato perché Thunderbird non lo mostra, per quanto ci siano dei plugin che sembrano poterlo fare ma non funzionano correttamente. Bisogna quindi ricorrere a soluzioni open source o a prodotti commerciali come FEC (Forensic Email Collector), SecurCube Downloader, F-Response o simili.

Avendo a disposizione software open source, possiamo sviluppare qualche linea di codice in python che vada a utilizzare la libreria imaplib chiamando il comando “fetch(message, ‘(INTERNALDATE)’” oppure più semplicemente sfruttare la potenzialità del comando cURL, utilizzato in genere per scaricare pagine web o file da Internet.

Con gli opportuni parametri, il comando cURL può essere utilizzato per accedere tramite protocollo IMAP o IMAPS a server di posta elettronica e scaricare messaggi di posta, intere mailbox o più semplicemente i metadati IMAP che altrimenti sarebbe difficile ottenere. Con una sola riga, riusciamo quindi a ottenere diversi parametri legati a tutte le email presenti nella Inbox della casella di posta [email protected], utilizzata per i test durante il workshop.

curl –insecure –url “imaps://imap.gmail.com/INBOX” –user “[email protected]” –request “fetch 1:* (UID FLAGS INTERNALDATE ENVELOPE)”

Lanciando questo comando in pochi decimi di secondo si ottengono i metadati IMAP InternalDate, UID (order received) oltre ai FLAGS come “Seen” (che indica se un messaggio di posta è stato letto oppure no), se è JUNK (marchiato come “spam”), data d’invio scritta nell’ENVELOPE (quindi impostata dal client) e altri parametri utili per l’analisi. In questo caso, è strategico verificare se il campo Internal Date è coerente con la data d’invio oppure se di discosta di molto, incrociando eventuali anomalie con il raffronto degli UID (o “order received”).

cURL utilizzato per ricavare INTERNALDATE e IMAP UID da un messaggio di posta

Il comando cURL può essere personalizzato con diversi parametri, ad esempio è possibile estrarre il solo campo IMAP InternalDate dal messaggio con UID 9 nella mailbox “safedition” della casella Gmail nel folder INBOX, con password “password123” (se viene omessa la password da linea di comando, viene chiesta in tempo reale durante l’avvio del tool).

curl –insecure –url “imaps://imap.gmail.com/INBOX” –user “[email protected]:password123” –request “fetch 9 INTERNALDATE”

Una volta raccolti tutti questi dati, esaminato il file RFC822, valutate l’ordine dei messaggi “ORDER RECEIVED” o IMAP UID, verificate le date INTERNALDATE, verificata la firma DKIM, etc… il consulente informatico forense potrà valutare l’integrità delle mail, l’assenza o presenza di manipolazioni, eventuali anomalie nelle mailbox e nei messsaggi di posta elettronica.

Ricordiamo, a completamento dell’articolo, che i provider di posta elettronica sono in grado di fornire – su richiesta da parte dell’Autorità Giudiziaria e raramente da parte dei Legali – ulteriori dati a supporto delle indagini informatiche forensi. Ad esempio, i provider mantengono per un anno di tempo i log di utilizzo della casella di posta elettronica , memorizzando i metadati (non ovviamente i contenuti) dei messaggi inviati e ricevuti, cioè mittente, destinatario, data d’invio/ricezione, oggetto, dimensione messaggio talvolta integrati con ulteriori elementi come server SMTP utilizzato, IP di provenienza o altri dati tecnici.

Per quanto riguarda invece le attività dell’utente sulla casella di posta – utili spesso per rilevare accessi non autorizzati, manipolazioni ai messaggi, apertura di email, cancellazione e rimozione di mail, modifica di allegati altre attività non autorizzate è disponibile presso buona parte dei provider una sezione di storico degli accessi, che permette di visionare i dettagli degli ultimi accessi, in termini di numero di accessi o di giorni/settimane/mesi di storico. Tali dettagli spesso arrivano anche a informazioni tecniche sui browser utilizzati, gli indirizzi IP e il tipo di operazione eseguito dall’utente (es. cambio password, aggiunta numero di telefono di sicurezza, etc…).

Con maggiore difficoltà è possibile anche ottenere dal provider (se ne mantiene copia e se la fornisce al proprietario, al suo legale o soltanto all’Autorità Giudiziaria) anche lo storico delle attività eseguite tramite webmail, IMAP o POP, potendo così ricostruire attività di accesso e operazioni di falsificaizione, manipolazione, aggiunta o cancellazione eseguite sulle singole email da interfaccia web o tramite i protocolli IMAP o POP.