Archivi categoria: news

DRIFT Linux: la nuova live distro forense italiana

Nel panorama delle distribuzioni Linux dedicate alla digital forensics, arriva una novità interessante: DRIFT Linux, una live distro forense italiana progettata dall’esperto Massimiliano Dal Cero come un vero e proprio laboratorio per professionisti DFIR, consulenti d’informatica forense e forze dell’ordine.

DRIFTLINUX Distro Informatica Forense basata su Linux per acquisizioni e copie forensi

L’Italia è nota da anni per le live distro forensi, a partire dalle storiche DEFT e Caine, seguite da Tsurugi (alla quale Massimiliano Dal Cero contribuisce e continuerà a fornire supporto) e altre distro minori, si è però sempre sentita l’esigenza di un approccio minimale e con un occhio all’utilizzo pratico che gli informatici forensi fanno delle distribuzioni live, che poi possono essere utilizzate anche in macchine virtuali VM oppure installate su un PC.

Cos’è DRIFT Linux?

DRIFT nasce come sistema live pensato per operare direttamente sul campo in attività di acquisizione di dispositivi, raccolta di evidenze (anche da web e cloud) e alcune delle prime fasi di analisi. L’obiettivo di DRIFT Linux è offrire uno strumento immediato, pronto all’uso e completo già dal boot.

DRIFT Linux Digital Forensics Live Distro

La live distro per digital forensics DRIFT Linux si avvia in pochi secondi e mostra un menù completo di tutti gli strumenti indispensabili per attività d’incident response e informatica forense.

Caratteristiche principali

DRIFTLinux ha alcune caratteristiche che lo rendono un progetto interessante per chi si occupa d’informatica forense:

  • Live system operativo e portabile
    Nessuna installazione necessaria: avvio immediato e utilizzo su qualsiasi macchina.
  • Focus su acquisizione e raccolta evidenze
    Supporto per copia forense di dispositivi fisici e acquisizione di contenuti web completi, analizzabili offline, tramite un tool di web forensics.
  • Toolset integrato per DFIR
    DRIFT Linux Include strumenti essenziali per iniziare subito le attività di investigazione digitale.
  • Struttura modulare e razionale
    Progettata per essere organizzata, estendibile e facilmente mantenibile.

Essendo progettata in modo modulare e minimale, la live distro DRIFT Linux permette l’avvio in RAM tramite il parametro di boot al kernel “toram” selezionabile direttamente all’avvio.

DRIFT Linux boot in RAM con toram

Allo stesso modo, si può selezionare l’avvio grafico o testuale, verbose o con persistenza, eventualmente anche con una modalità avanzata e troubleshooting in caso di problemi di boot.

Per poter fare mount in modalità read-only viene fornito un “DRIFT Forensics Mount Manager” con lo scopo di permettere di selezionare e verificare la modalità di mount di ogni periferica.

DRIFTLinux Forensic Mount Manager

Altra piccola ma importante accortezza: la rete (ethernet, wifi, etc…) è sconnessa all’avvio a meno che l’utente non la abiliti dopo il boot tramite il “DRIFT Connection Panel”, in modo da rimanere silente anche sulla parte di connettività.

DRIFT Linux Network Connections Panel

Filosofia progettuale alla base di DRIFT Linux

Alcuni degli aspetti più interessanti dietro la distribuzione forense DRIFT Linux che emergono dal sito web e da una prima visione del prodotto sono:

  • Approccio pragmatico: strumenti utili, concreti, pronti all’uso sul campo
  • Modularità: ogni componente ha uno scopo chiaro, evitando complessità inutili
  • Portabilità totale: l’idea di “forensic lab in tasca” è centrale nello sviluppo
  • Efficienza operativa: ridurre il tempo tra acquisizione e analisi

Questa visione richiama la tradizione Linux/Unix, nella quale vengono privilegiati gli strumenti semplici, focalizzati e componibili, nell’ottica di una sempre maggiore efficacia e chiarezza.

Download e versioni a confronto

DRIFT Linux è disponibile per il download gratuito al link “Download DRIFT Linux” sulla home page del progetto, nella quale vengono proposte ben quattro alternative:

DRIFT Fast 2026.01: La versione standard, 1256MB di software preconfigurati per l’informatica forense e la gestione degli incidenti informatici (drift-linux-FAST-hybrid.iso, MD5: b5aa7a8e9e18cbe4b462dfa3bc81a4cd58ac31fc).

DRIFT Fast XS 2026.01: La versione ridotta per le sole acquisizioni forensi e primo intervento, 782 MB di strumenti pronti all’uso che possono essere caricati in RAM anche su PC con poca disponibilità di memoria (drift-linux-FAST-XS-hybrid.iso, MD5: 829e71ad69e0189b93e63afb93093564).

DRIFT Fast Micro 2026.01: La versione ultra minimalista, che a breve sarà disponibile e occuperà poco spazio sia su disco sia eventualmente in memoria, con i soli tool per acquisizioni forensi in contesti dove l’occupazione di risorse e la compatibilità possono essere un problema.

DRIFT Paddock 2026.01: La versione installabile per chi preferisce lavorare su una workstation in versione permanente e non dover avviare tutte le volte una distribuzione live che risiede soltanto in RAM.

Sempre nella pagina di Download di DRIFT Linux, Massimiliano Dal Cero ha deciso di ripubblicare le “vecchie glorie“, le distribuzioni DEFT Zero delle quali era già uno degli autori al tempo, distribuzioni che ancora oggi vengono utilizzate perché pur se obsolete si sono dimostrate stabili e minimali:

DEFT Zero 2017.1: La versione DEFT Zero originale, “senza zucchero e tool aggiunti”, ideale per sole acquisizioni forensi e massima compatibilità (deftZ-2017-1.iso, SHA256 beb575e34d948536474770c0af96c15111275e63e3e9975fa79fb337294a2cb0)

DEFT Zero 2018.2: nelle due versioni Original 2O (deftZ-2018-2O-resurrected.iso, SHA256 d207c31e880a46629a0a8c179502644ae76d3e10613bd7ee7a4a929a8ce0fff2) e Updated 2U (deftZ-2018-2U-resurrected.iso, SHA256: 112a7e3ebc5f063e7b80a3f035cb6dca498aec40323c2f0cc271e20c7f81a6dd)

Manuale d’uso e video tutorial

Il sito web contiene utile documentazione relativa al progetto, inclusi alcuni video tutorial di DRIFT Linux in azione che mostrano in modo immediato le caratteristiche principali della live distro.

Una volta scaricata la ISO della versione prescelta della live distro, è sufficiente creare una “live usb” tramite balenaEtcher, Rufus, Ventoy o dd e avviare la distribuzione dalla porta USB del PC ove s’intente utilizzare DRIFT Linux.

Intelligenza Artificiale – La visione dell’avvocatura torinese, Convegno a Torino

L’intelligenza artificiale e l’Avvocatura sono un binomio molto discusso, in particolare negli ultimi mesi durante i quali leggiamo notizie di atti che paiono essere stati predisposti con o dall’IA.

Gggi pomeriggio in Maxi Aula 1 del Tribunale di Torino se ne parlerà al convegno “Intelligenza Artificiale – La visione dell’avvocatura torinese“, organizzato da Fondazione dell’Avvocatura Torinese Fulvio Croce e il gruppo Il Sole 24 Ore, parte del ciclo di incontri “Temi d’Impresa” – XII° incontro.

La direzione scientifica è dell’Avv. Riccardo Salomone, i saluti dell’Avv. Avv. Enrico Maggiora, Presidente Fondazione Fulvio Croce, la presentazione brevIArio sarà condotta dagli Avv.ti Alessio Chiabotto, Vittoria Diotallevi, Carlo Negro e Paolo Pisano – Commissione IA Ordine COA Torino.

Il Prof. Avv. Giovanni Maria Riccio – Professore Ordinario di Diritto Privato – Università di Salerno – terrà una relazione su AIAct: quadro normativo attuale.

Seguiranno gli interventi sugli aspetti tecnici con:

  • “La conservazione dei dati, l’autoapprendimento, i bias”, Dr. Paolo DAL CHECCO – Consulente Informatico Forense;
  • “Profili GDPR e aspetti deontologici”, Avv. Cristiano Michela – Consigliere Ordine Avvocati Torino;
  • “AI e responsabilità in ambiti specifici: l’utilizzo in campo giudiziario”, Prof. Avv. Prof. Avv. Marco Martorana – Professore a contratto in diritto della privacy – Universitas Mercatorum.

Conclude l’incontro la parte pratica, introdotta dal Dr. Paolo Roccia – Il Sole24 ORE – e un intervento sugli strumenti per i professionisti, tenuto dall’Avv. Alberto Bozzo – Formatore IlSole24ORE.

La locandina dell’evento su Intelligenza Artificiale e Avvocatura è disponibile e visionabile al seguente link.

Locandina convegno su Intelligenza Artificiale e Avvocatura a TorinoDownload

Convegno a Latina sulle responsabilità degli intermediari finanziari e degli istituti di credito

L’Associazione dei Consumatori CODACONS Latina, per il tramite del Presidente Provinciale Avv. Antonio Formiconi, in collaborazione con il Consiglio dell’Ordine degli Avvocati e lo Studio Legale Di Resta Lawyers, organizza un importante convegno dedicato alla tutela dei risparmiatori e dei correntisti dal titolo “Le responsabilità degli intermediari finanziarie degli istituti di credito: risparmio tradito e frodi telematiche“.

IL convegno si terrà lunedì 23 marzo 2026, alle ore 15:00 presso il Circolo Cittadino di Latina – Piazza del Popolo, 1, l’ingresso è libero ma i posti sono limitati.

L’iniziativa nasce con l’obiettivo di offrire strumenti concreti per comprendere i rischi legati agli investimenti finanziari e alla gestione dei conti correnti, con particolare attenzione ai fenomeni sempre più diffusi delle frodi bancarie e digitali.

A chi è rivolto il convegno sulla responsabilità degli intermediari finanziari e le frodi telematiche

L’evento sul risparmio tradito e le frodi telematiche in ambito bancario è rivolto a:

  • cittadini e consumatori
  • risparmiatori e investitori
  • professionisti interessati alla materia

Un’occasione utile per acquisire consapevolezza sui propri diritti e sulle tutele previste dall’ordinamento.

I temi trattati durante il convegno sulle frodi informatiche e bancarie

Durante il convegno che si terrà a Latina (Roma) sugli intermediari finanziari verranno approfonditi, con taglio pratico e giuridico:

  • la responsabilità degli intermediari finanziari e degli istituti di credito
  • la tutela del risparmio e i casi di “risparmio tradito”
  • gli obblighi informativi previsti dalla normativa MIFID
  • le frodi bancarie e informatiche, tra cui phishing, chiamate fraudolente (ID spoofing), SIM swap, investimenti su piattaforme digitali e criptovalute

Un focus particolare sarà dedicato agli strumenti di difesa e alle azioni concrete a tutela dei cittadini.

Programma dell’evento e relatori del convegno sulle truffe bancarie e reati finanziari

Al Convegno sulle responsabilità degli intermediari finanziari in caso di truffe e frodi interverranno:

Avv. Giovanni Grassucci – Foro di Latina – docente universitario in ambito protezione dei dati personali

Moderatore: Avv. Giovanni Lauretti – Presidente dell’Ordine degli Avvocati di Latina

Saluti istituzionali: Avv. Antonio Formiconi – Foro di Latina – Presidente di Codacons Latina

Intervento Introduttivo

  • Avv. Jacopo Barcati – Foro di Treviso – Avvocato Of Counsel Studio Legale Di Resta Lawyers: La tutela del risparmiatore tradito e l’inosservanza degli obblighi in base alla normativa MIFID
  • Avv. Veronica Miccinilli – Foro di Latina – Codacons Nazionale: Casi di successo per il risparmiatore e il ruolo di Codacons
  • dott. Valentino Vecchi – Commercialista e specialista in contenzioso bancario – Ordine commercialisti di Napoli: Verifiche di appropriatezza e di adeguatezza a tutela del risparmiatore nell’ambito dei rapporti bancari
  • Avv. Fabio Di Resta – Foro di Latina – DPO e Professore universitario a contratto Cybersecurity e protezione dei dati: La tutela del correntista e del risparmiatore vittima frode di informatica bancaria e finanziaria
  • dott. Paolo Dal Checco – Esperto di informatica forense – Professore universitario a contratto corso di sicurezza informatica – CTU presso il Tribunale di Torino (intervento da remoto): Le investigazioni informatiche forensi a tutela dei correntisti e degli investitori vittime di frodi bancarie e delle piattaforme di criptovalute.

Chiude l’evento sulle frodi informatiche e telematiche in ambito bancario una sessione di domande e risposte.

Il talk sulle investigazioni informatiche forensi in ambito di frodi bancarie

Nel mio talk parlerò di come si svolgono, in concreto, le attività di perizia informatica forense nei casi di frodi bancarie e truffe legate alle piattaforme di criptovalute, con un taglio pratico e operativo. Partendo dai principali schemi di attacco (phishing, spoofing, SIM swap e falsi investimenti online ma anche social engineering, man in the mail e CEO Fraud) illustrerò quali elementi probatori possono essere raccolti sin dalle prime fasi e perché la tempestività è determinante per la riuscita delle indagini.

Analizzerò il ruolo della vittima, evidenziando cosa può e deve fare immediatamente per preservare le prove digitali (chat, email, log di accesso, dispositivi, eventuali malware) e quali richieste avanzare agli istituti bancari per ottenere dati tecnici fondamentali (indirizzi IP, sistemi di autenticazione utilizzati, tracciature delle operazioni).

Affronterò inoltre le peculiarità investigative delle frodi in ambito crypto, soffermandomi sulla raccolta di indirizzi wallet, sull’analisi delle transazioni e sui limiti e le opportunità offerte dalla tracciabilità della blockchain.

Infine, offrirò una panoramica delle attività della Polizia Giudiziaria, illustrando quali dati possono essere acquisiti (bancari, telefonici e telematici) e quali sono le principali criticità investigative, con l’obiettivo di fornire ai partecipanti strumenti concreti per comprendere come si costruisce, passo dopo passo, un’indagine efficace in questo ambito.

Informazioni utili

  • Ingresso libero (posti limitati)
  • Accreditamento in corso per crediti formativi avvocati
  • Email per informazioni: [email protected]

Brochure dell’evento

La brochure dell’evento sulle responsabilità degli intermediari finanziarie degli istituti di credito: risparmio tradito e frodi telematiche è disponibile e scaricabile dal seguente link.

Locandina del Convegno sulle Truffe Telematiche in ambito BancarioDownload

Criptovalute e Dark Web: Le nuove frontiere del crimine digitale su TV7

La scorsa settimana è andato in onda su Rai – Radiotelevisione Italiana un servizio di Alessandro Gaeta per TV7 dedicato al complesso rapporto tra monete virtuali e attività illecite nel “lato oscuro” della rete. Il reportage, arricchito dalla partecipazione del magistrato Dott. Nicola Gratteri e del sociologo Claudio Loiodice, ha offerto una panoramica davvero interessante e completa su un fenomeno in costante evoluzione.

Paolo Dal Checco e il giornalista Alessandro Gaeta su TV7

Nel mio intervento tecnico ho voluto fare chiarezza sulle dinamiche reali di questo mondo, partendo dalle basi: spesso dimentichiamo che lo spazio digitale a cui accediamo quotidianamente rappresenta solo il 5% di internet. Esiste un livello più profondo, il Deep Web (dove risiedono ad esempio i nostri dati bancari protetti da password), e poi c’è il Dark Web: una rete accessibile solo tramite protocolli specifici come Tor, che garantiscono la cifratura e l’anonimato. Sebbene questa tecnologia protegga anche giornalisti e dissidenti in regimi oppressivi, sotto il profilo criminologico rappresenta un problema enorme, ospitando mercati di armi, droghe e dati rubati.

Paolo Dal Checco parla di Dark Web su Rai1 a TV7

Il ruolo delle Criptovalute e la sfida del tracciamento Il cuore del mio contributo si è focalizzato sull’economia di questo mondo sommerso. Come spiego nel servizio, nel Dark Web non si usano contanti: la valuta di scambio è il Bitcoin (o frazioni di esso, dato il valore elevato). Ho approfondito le tecniche di acquisto, tracciamento, anonimizzazione e riciclaggio, mostrando concretamente come operiamo nelle perizie informatiche.

Per chi commette reati, il problema principale è che il Bitcoin, contrariamente a quanto si crede, non è totalmente anonimo: le transazioni sono stringhe alfanumeriche pubbliche. Per questo motivo, i criminali ricorrono a servizi di anonimizzazione chiamati “Mixers” o “Tumblers”: siti dove si versano fondi “sporchi” per riceverne indietro altri “puliti” (meno una commissione), nel tentativo di spezzare il legame con l’attività illecita. (Nota: Come da te indicato, nel servizio mostri l’utilizzo del software Crystal Intelligence per analizzare questi flussi su crypto, token ed NFT).

Crystal Intelligence su TV7 per Rai1 nel servizio di Alessandro Gaeta con l'informatico forense Paolo Dal Checco

I numeri e la logistica del crimine I dati emersi sono allarmanti. Nel 2024 sono stati rilevati circa 383 miliardi di euro in transazioni criminali: una cifra che supera il doppio del bilancio annuale dell’Unione Europea. Questo fiume di denaro digitale ha cambiato anche le abitudini dei grandi cartelli del narcotraffico: se fino a pochi anni fa i narcos preferivano il contante, oggi accettano volentieri pagamenti in criptovaluta, considerandola paradossalmente più difficile da tracciare per le forze dell’ordine.

Paolo Dal Checco parla di bitcoin mixer su Rai1 a TV7

Oltre all’aspetto finanziario, il servizio illustra la logistica sorprendente di questi traffici: dalla vendita di armi con spedizioni postali, fino alle droghe recapitate tramite corrieri ignari o utilizzando indirizzi fittizi e “punti di appoggio” per evitare la firma alla consegna.

Per chi fosse interessato a comprendere meglio queste dinamiche e visionare il servizio “Il buco nero della rete”, il pezzo di Alessandro Gaeta inizia al minuto 27:25 ed è visionabile pubblicamente dalla pagina RaiPlay di TV7.

Nella “Cantinetta” di Andrea Galeazzi sul canale Youtube hackerato

Hanno rubato e fatto chiudere l’account Google e quindi anche il canale Youtube di Andrea Galeazzi, con quasi 1.5 milioni di follower, tramite social engineering con phishing mirato e finta autenticazione OAuth, nonostante avesse 2FA attivo e fosse consapevole dei rischi degli attacchi mirati agli youtuber.

Paolo Dal Checco con Andrea Galeazzi su Youtube per parlare del canale e account Google hackerato

Andrea Galeazzi racconta in un video – pubblicato sul canale appena riaperto – come è avvenuto l’attacco da parte degli hacker al suo canale, come lo hanno tagliato fuori dal suo account Google nonostante avesse 2FA attivo e come ha reagito per recuperare l’accesso.

Nella famosa “Cantinetta”, tra smartphone e gadget affascinanti, con Andrea ci sono anche io per analizzare gli aspetti tecnici e dare alcuni consigli su come proteggersi da questi hack e come rimediare se il danno è già stato fatto.

Per chi fosse curioso di capire come è stato hackerato Andrea Galeazzi, la compromissione ha avuto origine da un attacco di Spear Phishing (phishing mirato e personalizzato) estremamente sofisticato.

A differenza delle campagne generiche, gli attaccanti hanno confezionato un’esca basata su una fase di reconnaissance precisa, sfruttando le lamentele reali degli utenti sulla qualità audio dei video recenti per proporre una falsa collaborazione con un brand di microfoni noto alla vittima.

Paolo Dal Checco nella Cantinetta di Andrea Galeazzi - Video Youtube sull'hack dell'account Google

L’attuale disponibilità di strumenti basati sull’Intelligenza Artificiale permette ormai di automatizzare la creazione di scenari così contestualizzati, analizzando profili e commenti pubblici per ingannare la vittima con una precisione che un tempo avrebbe richiesto un operatore umano dedicato,.

Sotto il profilo tecnico, il vettore d’attacco non ha mirato alla sottrazione diretta della password, ma allo sfruttamento del protocollo OAuth o meglio, di ciò che pareva essere un’autenticazione OAuth.

Andrea Galeazzi, rassicurato dalla coerenza del contesto e colto in un momento di stanchezza, ha autorizzato l’accesso tramite una maschera di autenticazione che pareva legittima, concedendo di fatto l’accesso ai criminali che hanno proceduto in pochi secondi al hijacking del canale.

Quello che colpisce maggiormente dal punto di vista della Incident Response è la velocità della “Kill Chain”: in meno di venti secondi dall’autorizzazione, gli attaccanti hanno modificato le credenziali, revocato le sessioni attive e, mossa cruciale per la persistenza, impostato un token fisico (chiave hardware FIDO/U2F) come unico metodo di autenticazione, tagliando fuori il legittimo proprietario e rendendo inefficaci i metodi di recupero tradizionali.

Nel video Youtube girato in Cantinetta con Andrea Galeazzi abbiamo evidenziato la debolezza intrinseca del 2FA via SMS, vulnerabile a malware e SIM Swapping, a favore di metodi più robusti come le Passkey o meglio ancora le chiavi di sicurezza hardware come le note YubiKey.

Andrea Galeazzi racconta nella Cantinetta dell'hack del canale Youtube e dell'account Google

Per i profili ad alto rischio, emerge l’importanza del Google Advanced Protection Program, un’impostazione di sicurezza che limita drasticamente l’accesso alle API di terze parti e impone finestre temporali di verifica estese per operazioni critiche come il Google Takeout, mitigando il rischio di esfiltrazione immediata dei dati,.

Dal punto di vista della Digital Forensics, nel video Youtube di Andrea Galeazzi sull’hack al canale Youtube emerge l’importanza di reperire artefatti specifici che provino la titolarità storica dell’account: non basta conoscere l’handle pubblico: è necessario recuperare l’ID univoco del canale, i log storici dei dispositivi che hanno un “trust” per il provider e i dettagli dei metodi di pagamento pregressi.

Si parla poi del concetto di isolamento dei dati (o compartimentazione): abbandonare l’idea di un unico account “monolitico” per tutti i servizi e separare nettamente le identità digitali lavorative, personali e finanziarie, riducendo così il raggio d’azione di un’eventuale compromissione anche con indirizzi email diversi e persino più numeri di cellulare, così da separare attività private e lavorative/bancarie/riservate.

Per fortuna il peggio è passato ma non bisogna mai rilassarsi troppo perché può capitare a chiunque, esperti e professionisti, nessuno escluso, basta trovare il momento o la chiave giusta e chiunque può cadere vittima di hacking o phishing.

Il video di Andrea Galeazzi con Paolo Dal Checco che parlano del furto e hack del canale Youtube e account Google è visionabile al seguente link: https://www.youtube.com/watch?v=rMwLbLAMKg4