Archivi categoria: news

Download di Deft XVA Linux per Informatica Forense

DEFT XVA Virtual Machine disponibile per il download

Download di Deft XVA Linux per Informatica ForenseDEFT XVA, la tanto attesa versione X della piattaforma di analisi forense e investigazioni digitali DEFT Linux è disponibile per il download, sotto forma di disco virtuale importabile su VMWare o VirtualBox e contenente strumenti per attività di analisi forense in ambito d’informatica forense e indagini digitali.

Basata su Ubuntu Mate 18.04, con il kernel in versione 4.15.0-36-generic, DEFT Linux X contiene una raccolta di tool free ed open source per l’analisi forense e indagini digitali, che vanno dall’estrazione artefatti, mount, data recovery, network forensics, hashing, OSINT, Imaging, password recovery, picture forensics, live forensics, malware analysis, timeline, virtual forensics, mobile forensics, wipe, mount manager e per concludere Autopsy.

DEFT XVA Distribuzione Forense Linux

 

DEFT XVA, ultima piattaforma della suite DEFT Linux, componente strategica di ogni consulente informatico forense, non viene avviata con utente root autenticato sul sistema ma con lo user “investigator”, la cui password di default è “investigator”. In ambito di perizia informatica forense, una distribuzione come DEFT Linux può essere utile per eseguire attività di analisi forense delle evidenze e produrre una relazione tecnica contenente le risultanze della propria attività d’indagine digitale sui dati ottenuti tramite copia forense, eseguita ad esempio tramite la versione ridotta della piattaforma DEFT, chiamata DEFT Zero e disponibile da settembre nella versine 2018.2.

Su DEFT XVA, per montare in lettura o scrittura dispositivi di archiviazione di massa (hard disk, pendrive, schede di memoria, etc…) sono disponibili sia l’interfaccia grafica di mount manager, sia i comandi “wrtblk” e “wrtblk-disable” già presenti da anni sulla piattaforma DEFT Zero.

DEFT XVA mount manager per montare dischi in read only o scrittura

Si ricorda infatti che DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.

DEFT Zero file manager per montare i dischi in read only

Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).

Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.

I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:

  • blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
  • blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.

Il download della virtual appliance DEFT X può essere eseguito gratuitamente tramite il mirror GARR (spesso non funzionante) oppure tramite la piattaforma di file sharing Mega. Purtroppo la dimensione del file contenente la VA è notevole, il file compresso “DeftXva.1.zip” che si scarica dal mirror GARR e da Mega occupa ben 13 GB e contiene un disco virtuale VMDK da 36 GB.

L’archivio ZIP “DeftXva.1.zip” che si ottiene al seguito del download contenente la macchina virtuale DEFT XVA produce i seguenti valori hash:

  • MD5: 1ccb2b3e5934712805f572848647e53c
  • SHA1: a07fec3990614bef8672ed27112c15c9a3dba35d
  • SHA256: 291f0a8fd1c3552fbf51cd826779c541e29650dd7e65038e9f2cd1eb63ac60cd

Il file “Deft X, va-disk1.vmdk” contenuto all’interno dell’archivio “DeftXva.1.zip” in download possiede i seguenti valori hash:

  • MD5: 54ad69a107a262046a7881856186f2e7
  • SHA1: 9d188848111c48a0a19cb82677d1e6374de3b08c
  • SHA256: dd3e76f25051bacf88cfa75f2596e915df79ce4f4a87564683d1c6c202db65c3

Al suo interno è contenuto un disco virtuale VMDK, che è necessario importare in una macchina virtuale creata, ad esempio, tramite VMWare oppure VirtualBox.

Cyber Security presso il Master in Data Science for Business Intelligence

SMaster MADAB a Torinoono iniziate le lezioni di CyberSecurity presso il Master in Data Science for Business Intelligence (MADAB), attivato dall’Università degli Studi di Torino e organizzato da Despina Big Data Lab, il laboratorio di Big Data Analytics del Dipartimento di Economia e Statistica dell’Università e finanziato dalla Regione Piemonte grazie allo strumento dell’Apprendistato di alta formazione e ricerca.

Durante il corso che si terrà presso il Aula D2, Campus Luigi Einaudi, Lungo Dora Siena, 100/A  a Torino terrò la docenza del modulo di CyberSecurity, trattando argomenti relativi alla sicurezza informatica e informatica forense, in ambito prevalentemente aziendale/corporate o di ricerca e in ottica GDPR. Saranno trattati anche arIl Master in Data Science for Business Intelligence (MADAB) intende infatti fornire competenze e metodologie necessarie alla professione di Business Intelligence Analyst: una figura in grado di affiancare e supportare il management aziendale con strumenti di rilevanza strategica, finalizzati al raggiungimento degli obiettivi dell’impresa, per la quale la Cyber Security deve essere elemento strategico nel prendere decisioni e valutare le situazioni che occorrono in ambito corporate. Si consideri ad esempio l’importanza della conoscenza delle basi di digital forensics in caso di data breach e conseguenti indagini interne per poter fornire al Garante o agli interessati le informazioni che per legge devono essere predisposte entro 72 ore.

Per gli studenti, durante le lezioni saranno distribuite le slide proiettate durante il corso e forniti link, dispense e spunti per approfondire le tematiche trattate.

Bitcoin, Blockchain e Criptovalute a Bologna

Convegno su Bitcoin, Blockchain e Criptovalute a Bologna

Bitcoin, Blockchain e Criptovalute a BolognaLunedì 17 settembre 2018, dalle ore 14:30 alle 18.30 si terrà a Bologna il convegno su “Bitcoin, Blockchain e Criptovalute: principi di funzionamento, potenzialità investigative, aspetti giuridici e fiscali” a cura della Commissione Studi dell’ODCEC di Bologna “Commercialista 4.0”. L’evento sulle criptomonete e gli aspetti investigativi, giuridici e fiscali si terrà presso la Sala Conferenze Marco Biagi, sita in Piazza De’ Calderini 2/2 a Bologna. Valido ai fini della Formazione Professionale Continua per gli Iscritti all’Ordine dei Dottori Commercialisti e degli Esperti Contabili e per gli iscritti al Consiglio Notarile, il seminario seguirà il seguente programma, riportato anche nella locandina qui a fianco scaricabile in formato PDF cliccandovi sopra:

Saluti istituzionali

  • Dott. Andrea Foschi: Dottore Commercialista in Parma, Revisore Legale, Consigliere del CNDCEC
  • Dott. Alessandro Bonazzi: Dottore Commercialista in Bologna, Revisore Legale, Presidente dell’ODCEC di Bologna
  • Dott. Claudio Babbini: Notaio in Bologna, Presidente del Consiglio Notarile di Bologna

Coordina e modera

  • Dott. Giovanni Rocco di Torrepadula: Dottore Commercialista in Bologna, Revisore Legale, Presidente della Commissione “Commercialista 4.0” dell’ODCEC di Bologna

Relazioni e Relatori

  • Dott. Paolo Dal Checco, Consulente Informatico Forense – “Principi di base, tracciamento, deanonimizzazione e potenzialità di indagine sulle criptomonete
  • Dott. Stefano Capaccioli, Dottore Commercialista in Arezzo – “Criptovalute e regolamentazione: Riciclaggio ed Antiriciclaggio
  • Dott. Michele Manente, Notaio in Marcon (VE), Componente della Commissione Informatica del Consiglio del Notariato – “Blockchain e Criptovalute: i ‘costi della sfiducia’

Il convegno è gratuito per gli Iscritti all’ODCEC di Bologna, per i Soci Sostenitori della Fondazione DCEC di Bologna, e per gli Iscritti al Consiglio Notarile. Per i terzi è dovuto un diritto di segreteria pari a 20€ iva inclusa. È obbligatoria l’iscrizione da effettuarsi esclusivamente on line sul portale della Formazione Professionale Continua Unificata.

DEFT Zero 2018.2 Download

DEFT Zero 2018.2, live distro disponibile in download

DEFT Zero 2018.2 DownloadDisponibile per il download la versione 2018.2 di DEFT Zero, la distribuzione forense gratuita e open source dedicata all’acquisizione forense di sistemi x86 e x64 basata su Linux. Con dimensione di soli 650 MN, la live distro DEFT Zero può essere avviata anche su PC con poca memoria RAM, anche con il caricamento diretto in memoria così da poter garantire velocità e liberare, nel contempo, la porta USB o il lettore CD dal quale la distribuzione è stata avviata.

Le distribuzioni forensi vengono utilizzate quotidianamente da periti informatici e consulenti d’informatica forense per eseguire attività di acquisizione e analisi delle prove digitali finalizzate alla produzione in giudizio e utilizzo in Tribunale delle evidenze. I punti di forza delle live distro sono la completezza di strumenti, compatibilità con un gran numero di dispositivi e la componente open source che conferisce possibilità di esame in contraddittorio dei metodi utilizzati per le acquisizioni e analisi forensi da parte dei consulenti informatici forensi nella produzione delle perizie informatiche che vengono loro commissionate.

La forensic distro DEFT Zero 2018.2 supporta bios UEFI e secure boot, è basata su Lubuntu 14.04.5 LTS, Kernel Linux 4.4.0-53 e possiede la versione 0.8.8. di Guymager che fa uso della 20130416 di libewf. Sono presenti i tradizionali tool di hashing così come quelli indispensabili per eseguire copie forensi di hard disk e memorie di massa tra i quali spiccano Guymager, FTK Imager, dc4dd, dcfldd, ddrescue, dd_rescue ma anche la libreria “dislocker” per gestire dischi criptati con bitlocker e il tool per dischi e partizioni criptate VeraCrypt.

Deft Zero 2018.2

Le novità di questa versione sono il supporto ai nuovi Apple Macbook e Macbook Pro, con i dischi SSD nVME o PCIe che DEFT Zero è in grado di rilevare, montare o acquisire in maniera forense.

La password di root di DEFT Zero è sempre “deft”, nel caso in cui la GUI dovesse andare in crash, è possibile lanciarla e loggarsi utilizzando utente “root” e password “deft”, così da tornare in una interfaccia grafica utilizzabile.

Al boot DEFT Zero offre la possibilità di caricare il sistema in RAM (così da poter rimuovere, dopo l’avvio, la pendrive o il CD contenente la distribuzione forense) oppure di attingere al sistema dal supporto e, in caso di PC obsoleti, di non avviare l’interfaccia grafica attivando soltanto il terminale. Per i più esperti, sono disponibili tramite il tasto  F6 ulteriori parametri di avvio, come “acpi=off”, “noapic”, “nolapic”, “edd=on”, “nodmraid”e  “nomodeset”, utili ad esempio per l’avvio su sistemi con particolari schede grafiche, controller RAID o di gestione energia o su Macbook o iMac.

DEFT Zero parametri del kernel al boot

Di default, DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.

DEFT Zero file manager per montare i dischi in read only

Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).

Come abilitare la scrittura sui dischi in DEFT Linux con wrtblk-disable

Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.

Come bloccare in scrittura i dischi tramite wrtblk in DEFT Linux

I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:

  • blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
  • blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.

Il download della distribuzione forense DEFT Zero, in versione 2018.2, è disponibile gratuitamente dal mirror GARR e il valore hash di controllo della ISO è cd410c27ac580f0efd1d7eab408b4edb. Si ricorda che la password di root di DEFT Zero è “root” e l’utente è “deft” e il file “deftZ-2018-2.iso” produce i seguenti valori hash:

  • MD5: cd410c27ac580f0efd1d7eab408b4edb
  • SHA1: 8d42a0cf6c33c0602dcbded202d87a7629c46cc9
  • SHA256: 26234790be3c3641cd9018c1b2286e2f8422109cdc4e011f75db8b10a295ae28

Ricordiamo che la immagine ISO di DEFT Zero, una volta terminato il download, può essere masterizzata su di un CD (con qualunque software che supporti masterizzazione di ISO, come ImgBurn, CDBurnerXP o FreeISOburner) ma anche più comodamente riversata su di una pendrive USB che quindi può essere utilizzata per avviare il PC sul quale la piattaforma DEFT verrà caricata in live.

I software consigliati per riversare la ISO di DEFT Zero su pennetta USB sono UnetBootIn, Etcher e Rufus, disponibili per Windows, Mac o Linux, richiedono il percorso del file ISO contenente il download di DEFT Zero e ne salvano il contento su una pendrive USB rendendola avviabile dal sistema. E’ altresì possibile riversare DEFT Zero su una pendrive multibook, utilizzando strumenti come Sardu, Yumi o Easy2Boot.

Chi è interessato ad approfondire la lista dei pacchetti installati in DEFT Zero 2018.2 e i relativi numeri di versione, può trovarli al link Deft Zero 2018.2 packet list.

 

Telegram aggiunge la possibilità di esportare le singole chat

Esportazione di singola chat, gruppo, bot o canale TelegramTelegram ha da poco annunciato la possibilità di esportare una singola chat (ma anche gruppo, canale o bot) dal proprio profilo, includendo messaggi di testo, messaggi vocali, messaggi video, foto, filmati, stickers, GIF animate, vcard dei contatti, location e file allegati con un limite di 1.5 GB in totale. Vediamo come fare a esportare le proprie chat con relativi vantaggi, limiti e possibilità di utilizzo.

Continua a leggere