Archivi categoria: formazione

HackInBo Safe Edition 2020 – Il Programma dei Workshop

E’ cominciata la pubblicazione dei dettagli dei laboratori che si terranno sabato 30 maggio 2020 nell’ambito dell’evento HackInBo Safe Edition 2020, così da permettere ai partecipanti – che dalle iscrizioni su Linkedin risultano già oltre un migliaio – di prepararsi scaricando in anticipo eventuali contenuti, materiale, software utile per il workshop.

I dettagli dei workshop saranno pubblicati man mano sui canali ufficiali HackInBo e, di volta involta, verranno aggiunti al presente post per poter raccogliere comodamente in un’unica area tutti gli interventi, i link ai download per i lab, e il programma completo della giornata.

Programma della conferenza HackInBo Safe Edition del 30 maggio 2020

Ricordiamo che la giornata di formazione gratuita sarà trasmessa in live sul Canale Ufficiale Youtube di HackInBo e su eventuali altri social network che verranno pubblicati a breve.

Inizio streaming YouTube – Mario Anglani & Davide “DANTE” Del Vecchio (9:25)

Andrea Draghetti – Phishing (09:30 – 10:30)

Descrizione: Creiamo assieme una campagna di phishing finalizzata a carpire credenziali o a divulgare file malevoli. Sfrutteremo diverse tecniche utili ad evadere le blocklist di Safe Browsing o le regole di filtraggio dei filtri anti-spam.

Cosa serve:

  • WebServer Apache o NGINX
  • PHP
  • IDE
  • Repository GitHub: https://github.com/drego85/HackInboSafeEdition

Difficoltà: easy

Paolo Dal Checco – Email forensics (10:30 – 11:30)

Descrizione: La demo consisterà nel manipolare e falsificare alcuni messaggi di posta elettronica con il fine di cambiarne contenuti, data e persino allegati, non soltanto in locale ma anche direttamente sul server, creando mail verosimili ma mai ricevute né inviate o, ancora, ricevute e inviate ma con contenuti diversi, esattamente come avviene durante alcuni tipi di attacco Man in The Mail / Business Email Compromise finalizzati a deviare bonifici in modo fraudolento. Al termine della demo, scopriremo però come le manipolazioni ai messaggi di posta elettronica possono non lasciare tracce a livello RFC822 ma ne lasciano quasi sempre a livello di metadati IMAP, permettendo quindi al consulente informatico forense di rilevare in modo puntuale l’alterazione e la falsificazione delle mail. In sostanza, l’attività che verrà presentata nel workshop sulla falsificazione e il rilevamento delle manipolazioni delle mail sarà quella che il consulente tecnico e l’investigatore digitale svolgono quando lavorano su incarichi di perizia informatica su messaggi di posta elettronica e PEC nei quali viene richiesta la verifica dell’integrità e originalità dei messaggi oltre alla sempre doverosa copia forense delle caselle di posta o delle email che devono essere oggetto di analisi forense.

Cosa serve: Un client di posta Thunderbird, se possibile portable così da non richiedere installazione, un editor di testi (es. Notepad++) e una casella email (es. Gmail) che supporti accesso IMAP sulla quale fare i test di manipolazione messaggi di posta elettronica e rilevamento tracce di alterazione.

Difficoltà: medium

Paolo Perego – x86 Shellcoding Cakestar – Exploit Development Basics – Sviluppo di uno shellcode per customizzare i nostri exploit (11:30 – 12:30)

Descrizione: A volte, durante un penetration, devi customizzare il payload del tuo exploit per evitare l’antivirus installato sul server o l’IDS o semplicemente perché vuoi divertirti un po’ avendo il pieno controllo del codice che vuoi far eseguire al tuo exploit. Durante questo talk creeremo qualche semplice shellcode per Linux su architettura x86 e aggiungeremo un po’ di offuscamento, di egg hunting e di polimorfismo per far evolvere il nostro payload.

Cosa serve: Una VM Linux, un editor di testo, nasm, ld, gdb (peda nel caso). I partecipanti devono avere un minimo di conoscenze su registri x86 e sapere qualcosa di assembly. Il talk sarà veramente basic e molto introduttivo.

Difficoltà: easy

Antonio Parata – Analisi di un binario estratto da un Incident Response (12:30 – 13:30)

Descrizione: La demo avrà’ come scenario l’analisi di un binario che e’ stato identificato come sospetto durante un Incident Response. Lo scopo e’ quello di effettuare il reverse engineering del binario al fine di classificarlo e di estrarne i relativi IOCs e TTPs. Al fine di poter seguire la demo, i partecipanti dovranno effettuare il download degli strumenti utilizzati per effettuare l’analisi. Sara’ inoltre necessario disporre di un software di virtualizzazione, per poter eseguire eventuale codice malevolo.

Cosa serve: La demo ha un taglio tecnico, e’ quindi richiesto che i partecipanti conoscano i concetti base di come effettuare il debug di un programma o di analizzare il codice di un file binario. Una breve introduzione verrà’ comunque effettuata all’inizio della demo.

Materiale: https://github.com/enkomio/Conferences/blob/master/HackInBoSafeEditionMay2020/README.md

Difficoltà: hard

Alessandro Di Carlo – Scenari reali di DFIR: Tips&Tricks per una corretta analisi (13:30 – 14:30)

Cosa serve: Verranno resi disponibili alcuni scenari di compromissione sotto forma di copia forense (raw, E01). Al fine di portare a termine in modo corretto l’investigazione, si consiglia di scaricare ed installare il seguente materiale.

Materiale:

  • VMware (qualsiasi versione)
  • Zimmermann tools (https://lnkd.in/eCwhuJe)
  • Autopsy 4.15 (https://lnkd.in/fzGpgsd)
  • FTK Imager v.4.3.0 (https://lnkd.in/ewMB_zV)”

Difficoltà: medium

Mattia Epifani – iOS Forensics a costo zero (14:30 – 15:30)

Descrizione: L’obiettivo della demo è di illustrare l’utilizzo del jailbreak checkra1n su un dispositivo iOS o script ios_bfu_triage per acquisire il contenuto dello stesso, ottenendo un file TAR che può essere poi analizzato con diversi strumenti forensi, anche gratuiti. La seconda parte della demo sarà pratica, basata su una immagine di iOS 13 che sarà analizzata con strumenti OpenSource.

Cosa serve: Seguire le istruzioni disponibili a questo link su GitHub: https://github.com/mattiaepi/HackInBoSafeEdition2020/blob/master/README.md.

Difficoltà: medium

Igor Falcomatà & Gianfranco Ciotti – Come aggirare i sistemi a doppia autenticazione (phishing-ng) (15:30 – 16:30)

Descrizione: L’autenticazione a due o più fattori è considerato uno degli strumenti di protezione tra i più sicuri per proteggere l’accesso ai dati e alle applicazioni, soprattutto quelli relativi ai servizi di home banking. Il tentativo di mettere un freno alle sempre più crescenti frodi online attraverso questi strumenti è veramente efficace? Per dare una risposta a questa domanda il metodo migliore è toccarlo con mano: proviamo insieme a bypassare 2FA.

Cosa serve: Al fine di poter seguire la demo è necessario avere a disposizione una qualsiasi installazione di Golang, openssl e un qualsiasi editor di testo.

Difficoltà: easy

Tsurugi Linux: Davide Gabrini, Marco Giorgi, Giovanni Rattaro e Massimiliano Dal Cero” – InvestigazIoni #DFIR e #OSINT con il progetto #Tsurugi #Linux (16:30 – 17:30)

Descrizione: Durante la sessione demo verranno mostrati diversi tipi d’investigazioni utilizzando svariati tool e abbordando diversi argomenti.

Chiusura Evento (17:30 – 17:35)

HackInBo Safe Edition 2020

Vista la situazione di ridotta mobilità e distanziamento sociale che caratterizza questo periodo di (post) lockdown causa Covid-19/Coronavirus, il consueto appuntamento di maggio della conferenza HackInBo si terrà in una nuova veste: totalmente online, gratuito come sempre e con laboratori pratici.

HackInBo Safe Edition 2020

Battezzata “Safe Edition”, l’edizione “sicura” in epoca di pandemia Covid-19 della conferenza HackInBo sarà gratuita come sempre e totalmente fruibile da remoto, con laboratori pratici e workshop su argomenti come digital forensics ed email forensics, malware analysis, iOS forensics, phishing, OSINT, DFIR, incident response, exploit, 2fa, live distro.

A partire dalle 9:30 di sabato 30 maggio e fino alle ore 18:00, esperti del settore terranno durante la “HackInBo Safe Edition” diverse demo pratiche e workshop per tutta la durata dell’evento, in diretta live su Youtube e altri social network.

Data che si prevede che i partecipanti possano essere numerosi, non sarà possibile interagire con il relatore se non al termine della presentazione: chi seguirà i workshop avrà la possibilità di porre delle domande ai relatori tramite la chat dell’evento su Youtube. Le domande selezionate saranno rivolte dal moderatore (che per questa edizione sarà Davide “Dante” Del Vecchio) direttamente al relatore, durante gli ultimi 10/15 minuti della presentazione.

Per gli sponsor c’è la possibilità di far inserire il logo nella diretta live, gli interessati possono inviare una mail a [email protected] per approfondimenti. Precisiamo che il contributo fornito dagli sponsor andrà interamente a enti che stanno contribuendo al supporto per l’emergenza del Covid-19/Coronavirus in Italia.
Vi preghiamo di attenervi alle indicazioni in modo scrupoloso. Il workshop NON sarò interattivo. Il relatore risponderà ad alcune domande selezionate che arriveranno sulla chat di YouTube alla fine del proprio intervento.

Il canale youtube sul quale sarà trasmessa pubblicamente la conferenza HackInBo Safe edition è il seguente: https://youtu.be/sVoBI3_dTMI.

Canale youtube di HackInBo Safe Edition

Ecco il programma ufficiale, con orari, elenco degli interventi con titolo, argomento e relatori che parteciperanno a questa sessione su Youtube del workshop di HackInBo Safe Edition. E’ stato pubblicato anche, di recente, il programma dettagliato di HackInBo Safe Edition, con le descrizioni degli interventi, i requisiti e il livello di difficoltà.

9:25 [Inizio streaming YouTube]
Mario Anglani & Davide “DANTE” Del Vecchio

09:30 – 10:30 [Phishing]
Spread phishing and escape blocklists – Andrea Draghetti

10:30 – 11:30 [Email Forensics]
Rilevazione e analisi forense di manipolazioni e falsificazione di messaggi di posta elettronica – Paolo Dal Checco

11:30 – 12:30 [Exploit Development Basics]
Sviluppo di uno shellcode per customizzare i nostri exploit – Paolo Perego

12:30 – 13:30 [Malware Analysis]
Analisi di un binario estratto da un Incident Response – Antonio Parata

13:30 – 14:30 [Incident Response/Digital Forensics]
Scenari reali di DFIR: Tips&Tricks per una corretta analisi – Alessandro Di Carlo

14:30 – 15:30 [iOS Forensics/Security]
iOS Forensics a costo zero. Illustrazione e utilizzo del jailbreak checkra1n su un dispositivo iOS – Mattia Epifani

15:30 – 16:30 [Phishing/Red Teaming]
Come aggirare i sistemi a doppia autenticazione (phishing-ng) – Igor Falcomatà & Gianfranco Ciotti

16:30 – 17:30 [Incident Response/Digital Forensics]
InvestigazIoni DFIR e OSINT con il progetto Tsurugi Linux – Tsurugi Linux Team: Davide Gabrini, Massimiliano dal Cero, Marco Giorgi, Giovanni Rattaro

17:30 – 17:35 [Chiusura Evento]

Webinar IISFA sull’acquisizione delle fonti di prova online

Oggi ho tenuto un breve seminario online per l’Associazione IISFA – di cui sono socio e in passato sono stato membro del Direttivo – sulle modalità e strumenti di acquisizione forense di fonti di prova online. Il webinar ha riguardato principalmente le modalità di cristallizzazione e copia conforme a fini probatori di siti e pagine web utilizzate in ambito d’informatica forense per certificare la presenza online di pagine o siti web da utilizzare come prova in Tribunale a fini giudiziari.

La clonazione di siti web o di pagine prese da Internet a uso legale, ma anche di profili Facebook, Linkedin, Twitter, Instagram oltre che di chat, gruppi, canali o bot di applicazioni di messaggistica come Telegram, Whatsapp o Signal è ormai diventata un presupposto fondamentale per poter tutelare i propri diritti in sede penale o civile, ma anche stragiudiziale. Le prove ricavate da screenshot, stampe o salvataggi di pagine o siti possono essere facilmente contestate tramite i princìpi d’informatica forense, mentre se sono ricavate tramite apposite modalità, tecnologie e strumenti oltre a essere accompagnate da perizia informatica possono rappresentare un solido elemento su cui costruire una querela, una difesa, una causa civile o supportare accuse che poi possono sfociare in procedimenti penali. Il tutto partendo da una corretta e completa acquisizione forense di prove online.

Seminario IISFA su acquisizione forense di siti web e prove online
Acquisizione delle Prove Online – IISFA Webinar – Paolo Dal CheccoDownload

Durante il seminario IISFA sulla raccolta di prove online a uso legale tramite tecniche d’informatica forense ho presentato le basi sulle quali si costruisce un’acquisizione forense di un sito web e la cristallizzazione probatoria di una pagina web, descrivendo i princìpi che permettono alla copia di essere il più conforme possibile all’originale, conservarne nel tempo in modo statico il contenuto e garantirne l’esistenza in un dato periodo temporale. La copia forense di una pagina web o di un sito web, ma anche la clonazione di un profilo o pagina Facebook a fini probatori deve essere resistente a contestazioni, disconoscimento o accuse di plagio, falso, manipolazione o carenza di scientificità che con una strumentazione e metodologia adeguata possono essere fugate dimostrando invece l’attendibilità e scientificità delle operazioni svolte e quindi l’effettiva esistenza del contenuto di cui si certifica in sostanza la presenza online.

Il webinar IISFA sull’acquisizione forense e il salvataggio come prova digitale informatica dei siti web, dei profili, pagine o post Facebook è visionabile sul canale Youtube dell’associazione IISFA. Gli strumenti e i servizi citati all’interno della presentazione sono in parte gratuiti e in parte commerciali: chi fosse interessato a sperimentarli può scaricare e utilizzare liberamente quelli gratuiti mentre spesso per i tool commerciali e talvolta anche per i servizi online sono disponibili versioni di prova con le quali fare pratica e valutarne il funzionamento. Altra fonte utile per eseguire raffronti sono i documenti che i produttori pubblicano sui loro siti, sui social network, accompagnati spesso da video di presentazione, esempi di acquisizione forense e manualistica in pdf o html.

Le slide del webinar IISFA sull’acquisizione delle prove online sono scaricabili dal link pubblicato sotto l’immagine al centro della pagina.

Corso di Perfezionamento LegalTech per Università di Milano

Vista la problematica legata al COVID-19 e al conseguente DPCM, la docenza che avrò il piacere di tenere per il corso “Legal Tech, Coding for Lawyers, AI e Blockchain Legal Issues”, coordinato dal Prof. Giovanni Ziccardi per l’Università di Milano, si terrà in aula virtuale al posto della solita sede presso il Settore Didattico di Giurisprudenza dell’Università degli Studi di Milano in via Festa del Perdono 7.

Il corso LegalTech è finalizzato a fornire ai partecipanti le chiavi di comprensione della natura e delle caratteristiche di alcuni aspetti essenziali della società tecnologica che ci circonda, con particolare riferimento alle basi di programmazione, alla decostruzione e analisi accurata di alcuni fenomeni tecnologici, che stanno mutando, come l’intelligenza artificiale, la blockchain, l’analisi del rischio, il marketing e il Legal Design. Il cuore degli obiettivi formativi del corso è legato al settore del cosiddetto “Legal Tech”, ossia l’uso avanzato delle tecnologie in un’ottica di trasformazione e rinnovamento della professione legale, in vista di un miglioramento dell’efficienza, con particolare attenzione agli aspetti etici e di responsabilità professionale.

Corso LegalTech Università di Milano - Prof. Ziccardi

La prima lezione, del 30 marzo, sarà dedicata a una introduzione alla digital forensics, con particolare attenzione alle modalità con le quali le attività di perizia informatica vengono svolte da remoto in tempo di coronavirus, con limiti alla mobilità e al contatto personale. Verranno presentate modalità e strumenti tradizionali di copia e acquisizione forense delle prove, siano esse online, su disco, PC, smarthphone, rete, siti web, email o social network aggiornandole in base ai vincoli imposti dal DPCM sul Coronavirus, che restringe le possibilità di spostamento e contatto diretto con i dispositivi oggetto di duplicazione e analisi forense.

La seconda lezione, che si terrà il 27 aprile, sarà invece dedicata alle attività di blockchain intelligence e forensics, con particolare attenzione alle operazioni di sequestro di cripotomonete e bitcoin. Si parlerà d’indirizzi, chiavi private, wallet, transazioni, chiavi pubbliche, wallet software e hardware, generatori/seed/master key, mnemonic e come possono essere coinvolti in attività di sequestro e confisca di cryptocurrency. L’argomento del sequestro e confisca di bitcoin e monete matematiche richiede la comprensione di concetti base legati alla sicurezza del protocollo e delle chiavi, che sono la base per generare trasferimenti di moneta richiesti da eventuali istanze di sequestro.

Per informazioni sul corso di perfezionamento “Legal tech, coding for lawyers, artificial intelligence and blockchain legal issues. decostruire e comprendere le nuove tecnologie nella professione legale” e aggiornamenti su iscrizione, ammissione, graduatorie e immatricolazione consiglio la consultazione della pagina ufficiale del corso presso l’Università Statale di Milano.

Corso sul sequestro di Bitcoin per la Provincia di Bolzano

Prosegue la collaborazione con la Provincia Autonoma di Bolzano per l’erogazione di corsi dedicati alle F.F.O.O. in ambito digital forensics, con approfondimenti nel campo delle criptomonete, in particolare sul sequestro e confisca di bitcoin, argomento principale del corso di quest’anno.

Dopo aver tenuto negli scorsi anni corsi per Forze dell’Ordine su bitcoin forensics e intelligenze, lezioni d’informatica forense e corsi su OSINT e indagini online, il 2020 vede la crescente richiesta di nozioni tecniche relative al sequestro di criptomonete, non solo Bitcoin ma anche Ethereum, Litecoin, Monero, ZCash, Dash e ogni tipo di criptomoneta di cui sia possibile disporre delle chiavi private o avere la collaborazione del soggetto che ne è titolare.

Il programma delle due sessioni di corso di quest’anno per Militari e Forze di Polizia su “Cryptocurrency Forensics e Intelligence” presso la Scuola CTS di Bolzano mira infatti a fornire agli allievi delle Forze dell’Ordine (Carabinieri, Polizia Postale e Guardia di Finanza) le basi tecniche delle criptomonete, finalizzate a operare attività di sequestro di bitcoin in sicurezza, utilizzando metodologie consolidate e strumenti validati dalla comunità scientifica.

Come nei corsi passati, verranno fornite informazioni tecniche sulla generazione sicura d’indirizzi Bitcoin e altcoin, transazioni e wallet oltre a servizi, software e hardware utile per attività di gestione delle criptomonete ma anche d’indagine, deanonimizzazione e tracciamento. Dopo aver fornito le basi del tagging e del clustering, l’attenzione verrà focalizzata sulle metodologie di sequestro e confisca, in particolare sulla creazione di un wallet che possa essere poi depositato presso il Tribunale o la Procura della Repubblica.