Nel corso dell’A.A. 2018/2019 mi occuperò della didattica integrativa per il Corso di Sicurezza II (Laurea Magistrale in Informatica) presso il Dipartimento d’Informatica, Università degli Studi di Torino, con un laboratorio d’informatica forense.
Gli argomenti delle esercitazioni, per un totale di 20 ore di corso, saranno le basi dell’informatica forense, con approfondimenti sulle metodologie e gli strumenti di acquisizione e analisi forense a supporto delle perizie informatiche e delle indagini digitali.
Il materiale teorico per la parte d’informatica forense verrà fornito durante le lezioni, sotto forma di slide, mentre per il laboratorio verranno indicati di volta in volta gli strumenti di acquisizione forense e analisi tecnica da utilizzare.
Come piattaforma di base per le attività pratiche di laboratorio, verrà utilizzata la distribuzione forense Tsurugi Linux, sistema open source dedicato alla digital forensics, OSINT e malware analysis scaricabile gratuitamente, che verrà utilizzata nelle sue tre diverse opzioni, dedicate ognuna a una particolare attività dell’informatica forense:
- Tsurugi Acquire: live distro Linux leggera (dimensione ISO < 1GB) per le acquisizioni forensi e le attività di triage e verifica sul campo;
- Tsurugi Lab: live distro Linux installabile e utilizzabile anche su macchina virtuale per le attività di analisi forense in laboratorio, con una modalità di attivazione di un profilo OSINT per avere a disposizione strumenti predisposti per attività di Open Source Intelligence;;
- Bento: raccolta di tool per Windows, Mac e Linux destinati alle operazioni di incident response e analisi live sul campo;
Il laboratorio del corso di Sicurezza II permetterà agli allievi di apprendere le basi dell’informatica forense, approfondendone gli aspetti legali e normativi, le linee guida, le metodologie e gli strumenti, sia open source e gratuiti sia quelli commerciali utilizzati quotidianamente dagli Studi d’Informatica Forense.
Verranno illustrate durante il laboratorio d’informatica forense le tecniche di acquisizione forense da smartphone, tablet e cellulari attraverso prodotti come Cellebrite UFED e analisi forsensi realizzate tramite strumenti commerciali come Accessdata FTK, X-Ways Forensics o Magnet Forensics AXIOM.
Durante la parte di laboratorio del corso di Sicurezza II verranno illustrati vantaggi e svantaggi di copiatori forensi come i Tableau, Falcon, Ditto, mostrando come le distribuzioni forensi come Tsurugi Linux permettono spesso di sopperire alla mancanza di copiatori forensi o d’integrarli aumentando il parallelismo nelle attività di copia forense. Verranno mostrate le fasi di analisi forense di sistemi Windows, Linux e Mac OS ma anche Android e iOS, presentando i principali artefatti e il loro significato nella ricostruzione delle attività occorse su computer e smartphone.
