Archivi tag: digital forensics

Tsurugi Linux Lab 2019.1 disponibile per il download

Con un tweet dall’account ufficiale il Team Tsurugi ha fatto sapere che da oggi è disponibile per il download la nuova release della distribuzione per informatica forense, incident response, OSINT e malware analysis “Tsurugi Linux Lab” in versione 2019.1.

Tsurugi Linux Lab 2019.1

Nove mesi dopo la pubblicazione della prima versione della distribuzione Tsurugi Linux – dal nome giapponese ma prodotta da un team di sviluppatori italiani – è scaricabile la versione “Lab” della suite Tsurugi con grandi novità, ottimizzazione di spazio occupato e memoria, maggiore velocità di esecuzione e bugfix.

Di rilevanza la sezione “Computer Vision“, curata da Antonio Broi, con la suite di “face recognition” e “object detection” dedicata al riconoscimento automatico di volti umani e oggetti. La sezione “Computer Vision” è raggiungibile dal menù “TSURUGI->Picture Analysis->Computer Vision” e contiene diversi tool per riconoscimento facciale e di oggetti, configurati e pronti per l’uso.

Tsurugi Linux - Face recognition e object detection

Anche la sezione OSINT della suite Tsurugi è stata arricchita con decine di tool e strumenti per attività di Open Source Intelligence, configurati e pronti per l’utilizzo immediato, così da far risparmiare tempo a chi intende utilizzarli senza doverli scaricare, testare, configurare e installare.

Tsurugi Linux - OSINT, Open Source Intelligence

Il menù OSINT, nella release attuale di Tsurugi Linux Lab, comprende le seguenti voci: OSINT Switcher, OSINT Browser, Tor Browser, Entro.py, aquatone, buster, creepy, danger-zone, dnstwist EmailHarvester, FinalRecon, findomain, gasmask, Infoga, InstaLooter, kamerka, linkedin2username, Maltego, Maltego Memory Config, onioff, osif, Photon, pymeta, pwnedornot, raven, ReconCat, recon-cli, recon-ng, recon-rpc, recon-web, SnapStory, skiptracer, spiderfoot, sublist3r, tinfoleak, TorCrawl, totalhash, tweets_analyzer, URLextractor, userrecon, userrecon-py, waybackpack, WhatBreach, youtube-dl.

Ricordiamo che l’opzione OSINT Switcher – presente sia nel menù sia sul desktop – oscura temporaneamente da Tsurugi le voci di menù relative a digital forensics, incident response e malware analysis, lasciando esclusivamente i menù OSINT, Artifacts Analysis, Network Analysis, Picture Analysis, Crypto Currency e Other Tools, modificando anche lo sfondo del desktop per rendere evidente il passaggio alla modalità “OSINT”.

Tsurugi - OSINT Switcher

Anche i menù dedicati alla digital forensics e incident response sono degni di nota, disposti indicativamente nell’ordine tipico con il quale si procede durante un’indagine informatica: Imaging, Hashing, Mount, Timeline, Artifacts Analisys, Data Recovery, Memory Forensics, Malware Analysis, Password Recovery, Network Analysis, Picture Analysis, Mobile Forensics, Cloud Analysis, Virtual Forensics, Crypto Currency, Other Tools e Reporting.

Nella sezione “Imaging” sono contenuti i tool per eseguire immagini, copie e acquisizioni forensi, con strumenti come Guymager, ewfacquire, dcfldd, dc3dd, esximager, cyclone, la suite afflib ed ewftools e gli strumenti per recupero dati come ddrescue e dd_rescue. Nella sezione “Hashing” osserviamo i tradizionali tool per generare diversi tipi di hash, inclusi i fuzzy hash mediante il tool “ssdeep”, utili quando gli oggetti da confrontare non sono proprio identici bit a bit. Nella sezione “Mount” risiedono i programmi per montare diversi filesystem e dispositivi, incluse macchine virtuali disci cifrati con bitlocker, shadow copy, il nuovo filesystem di Apple APFS e il coltellino svizzero xmount, che permette di montare – anche in modalità read-write – immagini forensi e convertirle “on the fly”. Il menù “Timeline” contiene i vari software per generare timeline e supertimeline con PLASO, log2timeline, TimeSketch, Yarp-timeline e il “The Sleuth Kit”, provvisto di tutti i tool da linea di comando oltre che della versione “Autopsy” con interfaccia grafica. La voce “Artifacts Analysis” è suddivisa per tipologia di artefatto e sistema operativo, spaziando da Mac/Apple a Boot Code, Browser, Email, Files, File System Google Takeout, Jump List, Metadata, Office Documents, P2P, Registry, Trash e Windows Logs. Decine di tool per esaminare artefatti EXIF ma anche tracce lasciate dagli strumenti di File Sharing Peer to Peer come Torrent ed Emule, registro, cestino, jump list ed eventi di Windows. “Data Recovery” contiene un’intera collezione di tool e script per il recupero dati, immagini, filesystem e artefatti con tool come Bulk Extractor e la sua GUI BEViewer, foremost, scalpel, photorec con la GUI qphotorec, testdisk, RecuperaBit e tanti altri. La sezione “Memory Forensics” raccoglie strumenti per acquisizione e analisi/parsing della RAM come lime, rekall, volatility e tanti altri. “Malware Analysis” è una categoria a sé, con diversi sottomenù contenenti strumenti per analisi di binari, debugger, decoder, analisi Flash, Java e Javascript, memoria, Office e PDF, sandbox, scanner e XOR e tantissimi altri strumenti. Il menù “Password Recovery” contiene tool per recuperare e decifrare/forzare password di file, archivi, pdf, wifi e persino wallet Bitcoin. La sezione “Network Analysis” contiene tutti gli strumenti utili per lavorare in rete e analizzare la rete, a partire da strumenti per raccolta e analisi log, PCAP, portscan, hping, map, scapy, ssldump, torify, Zenmap e tanti altri. Il menù “Picture Analysis” raccoglie strumenti per analisi forensi su immagini, steganografia, analisi exif ma anche la sottosezione “Computer Vision”. La categoria “Mobile Forensics” raccoglie invece tutti gli strumenti utili per acquisizioni e analisi di smartphone e cellulari, suddivisi per sistema operativo con tool per acquisire analizzare iPhone, iPad e tablet Apple con iOS, Android e Blackberry, con alcuni tool per parsing e analisi dei database Whatsapp e un browser per database SQLite, sempre utile quando si analizza il contenuto di copie forensi di smartphone. La voce “Cloud Analysis” contiene strumenti per cloud forensics o analysis, con tool come aws_ir e aws_respond, sshfs, s3fs, margaritashotgun e Turbinia. “Virtual Forensics” contiene i tool per analisi forense e conversione di macchine virtuali in diversi formati, oltre a docker. La sezione “Crypto Currency” contiene strumenti per attività di bitcoin forensics, utili ad esempio per generare, aprire, analizzare wallet Bitcoin, ricercare indirizzi bitcoin, transazioni, chiavi private su copie forensi o hard disk e forzare password dei più svariati wallet. La sezione “Other Tools” contiene strumenti non classificabili direttamente nelle sezioni precedenti, come tool per NFC, strumenti di auditing come Lynis, multidiff, TCHunt-ng o USBGuard. Infine, la sezione “Reporting” contiene software utile per la parte di raccolta delle evidenze, reportistica e redazione della relazione tecnica forense.

Fuori dal menù TSURUGI sono presenti strumenti di word processing e fogli di calcolo con tutta la suite LibreOffice, strumenti di grafica, analisi video, foto e audio, VPN, Remote Desktop e centinaia di tool di uso comune in ambito di computer e digital forensics, incident response, OSINT e malware analysis.

Altre feature spesso sottovalutate sono la tastiera e il mouse virtuale, che permettono di utilizzare la distribuzione live anche su dispositivi con porte USB occupate, poche porte USB (es. il Macbook Air con una sola porta USB) e indisponibilità di hub o su piattaforme dove mouse e tastiera hardware non vengono correttamente riconosciuti.

Tsurugi - Mouse e tastiera virtuale

Da segnalare infine – elemento essenziale per attività di digital forensics – come dalla release di Tsurugi Linux Lab 2019.1 viene assicurata la funzionalità di write blocking anche nella versione installata, che nella release precedente era prerogativa solamente della distribuzione avviata in modalità “live”.

La suite Tsurugi è prodotta attraverso lo sviluppo di tre diversi componenti, tutti distribuiti gratuitamente, scaricabili dal sito Tsurugi-Linux.org e progettati per diverse esigenze:

  • Tsurugi Lab (versione a 64 bit, completa di tutti gli strumenti per OSINT, informatica forense, analisi malware e gestione degli incidenti informatici);
  • Tsurugi Acquire (versione a 32 bit, limitata ai soli tool per acquisizione forense e triage/live preview, ideale per avvio in ram tramite modalità kernel “toram”);
  • Bento (portable toolkit per DFIR, raccolta di strumenti per attività di digital forensics e incident response).

La nuova release 2019.1 di Tsurugi Lab è scaricabile liberamente dal sito ufficiale Tsurugi Linux, direttamente dalla pagina Downloads alla quale si trovano i vari mirror. L’immagine ISO tsurugi_lab_2019.1.iso ha dimensione 4,152,360,960 byte e si può avviare in macchina virtuale, installare sul disco di un PC, masterizzare su DVD o riversare su pendrive USB tramite i tool UnetBootIn o Rufus.

Tsurugi Linux Desktop

Rispetto all’edizione precedente, ci sono novità anche nel Team Tsurugi, che dal 2019 vede nello staff, oltre a Giovanni Rattaro, Marco Giorgi e Davide Gabrini anche Francesco Picasso, Massimiliano Dal Cero e Antonio Broi.

Consigliamo, dopo il download della ISO di Tsurugi Lab, di verificare la signature GPG “tsurugi_lab_2019.1.iso.sha256.sig” del file contenente il valore hash SHA256 “tsurugi_lab_2019.1.iso.sha256” apposta dal Team Tsurugi tramite la chiave pubblica ufficiale del “tsurugi_linux_pub_key_BC006C0D.asc“, con il seguente procedimento:

$ wget https://tsurugi-linux.org/tsurugi_linux_pub_key_BC006C0D.asc
(facoltativo) gpg --with-fingerprint tsurugi_linux_pub_key_BC006C0D.asc
$ gpg --import tsurugi_linux_pub_key_BC006C0D.asc
$ gpg --verify tsurugi_lab_2019.1.iso.sha256.sig tsurugi_lab_2019.1.iso.sha256

E’ importante ottenere il seguente messaggio di conferma di validità della firma GPG, per essere certi che l’immagine ISO scaricata si quella originale prodotta dagli sviluppatori:

gpg: Good signature from "Tsurugi Linux Core Develop <[email protected]>" [sconosciuto]
gpg: aka "Tsurugi Linux info <[email protected]>" [sconosciuto]

Come verificare firma signature GPG su immagine Tsurugi

E’ comunque sempre possibile – per quanto il procedimento migliore sia la verifica della firma gpg – calcolare i valori hash MD5 e SHA256 dell’immagine in download e verificarli rispetto a una fonte affidabile, che dovrebbe essere in generale il sito degli sviluppatori o frutto di una ricerca su Google.

  • MD5: 38632d190f0b03ee415e1ff6c28a8a86
  • SHA256: 2fbe996ac48136a6a187420258be38e5800defe66a432fcba98d2fb4ab96d6d3

Call for Papers per HackInBo 2019

Il 9 novembre 2019 avrò luogo a Bologna la tredicesima (!) edizione della conferenza HackInBo, evento totalmente gratuito sulla sicurezza informatica che si tiene almeno due volte l’anno a Bologna. Come ogni anno, gli interventi verranno selezionati tra coloro che si candidano alla call for papers da una commissione composta da Stefano Zanero, Paolo Dal Checco, Mattia Epifani, Gianluca Varisco, Carola Frediani, Francesca Bosco oltre ovviamente all’organizzatore dell’evento Mario Anglani.

Gli argomenti sui quali possono essere proposti gli interventi da parte dei candidati relatori sono: Web Application, IoT, Malware Analysis, Security, Digital Forensics, Phishing, Reverse Engineering, Crittografia, Mobile Security, Networking, Automotive, Critical Infrastructure, OSINT, Cryptocurrencies, Social engineering o qualunque argomento possa essere d’interesse per una comunità di esperti o semplici appassionati di sicurezza, informatica forense, automotive, OSINT e criptomonete.

HackInBo 2019 a Bologna - Call for Papers

Gli interventi aventi carattere innovativo o inedito avranno la priorità. Non saranno presi in considerazione, nel modo più assoluto, interventi mirati alla promozione di tecnologie commerciali specifiche, servizi commerciali e affini. Sarà valutata positivamente la completezza della proposta e delle informazioni di accompagnamento, così come l’esperienza del relatore o la sua partecipazioni ad altri eventi riguardanti la sicurezza delle informazioni.

Le date importanti per la call for papers sono le seguenti:

  • 17 Giugno 2019: Apertura CFP
  • 31 Agosto 2019: Chiusura CFP
  • 9 Settembre 2019: Data entro la quale saranno avvertiti i relatori
  • 9 Novembre 2019: Evento HackInBo a Bologna

Chi è interessato a candidarsi come relatore può cliccare sul seguente link e partecipare alla call for papers di HackInBo 2019.

Misure tecniche per il Corso di Perfezionamento per la formazione del DPO

Oggi ho tenuto la docenza di una parte del modulo VI del “Corso di perfezionamento universitario in materia di protezione dei dati personali per la formazione del Data Protection Officer (DPO) – Profili applicativi” per il Dipartimento di Giurisprudenza dell’Università degli Studi di Torino parlando agli allievi delle Misure di sicurezza tecniche che è necessario adottare secondo le indicazioni del GDPR.

Corso DPO Università di Torino

Durante la lezione sono stati affrontati argomenti come l’analisi dei rischi e le misure tecniche adeguate di protezione del dato personale che il GDPR prescrive per prevenire data breach e compromissione ai dati, in particolare quelli accessibili dall’esterno o dall’interno del perimetro di rete. Si è parlato di tecniche di anonimizzazione e pseudonimizzazione, cifratura e hash, firewall e sistemi di rilevamento e prevenzione delle intrusioni, segregazione dei ruoli ed endpoint protection orientati alla corretta gestione dell’accountability richiesta dal GDPR. Si è fatto accenno anche alle tecniche di forensic readiness e digital forensics finalizzate a predisporre i sistemi e i dati per attività d’informatica forense in caso di data breach.

Il Corso di Perfezionamento per la Formazione del Data Protection Officer, organizzato dall’Università degli Studi di Torino, della durata di 76 ore totali, vede docenti del calibro del Prof. Francesco Pizzetti, Prof. Sergio Foà, Prof. Alberto Oddenino, Avv. Mauro Alovisio, Prof. Raffaele Caterina, Prof. Massimo Durante, Prof. Alessandro Mantelero, Prof. Ugo Pagallo, Prof. Raffaele Caterina, Ing. Giuseppe D’Acquisto, Prof. Raffaele Caterina, Prof.ssa Anna Maria Poggi, Avv. Laura Marengo, , Ing. Enzo Veiluva, Prof. Guido Boella, Prof. Enrico Gross, Avv. Fabio Rastrelli e il Prof. Marco Orofino.

Gli argomenti trattati durante il Corso di Perfezionamento per la formazione del DPO sono svariati, concetto di privacy e il quadro normativo UE, i Principi e le cause di legittimazione, Consenso, Informativa, Diritti dell’interessato, Titolare del trattamento, contitolare, responsabile del trattamento e la figura del DPO nel mondo delle imprese, Tutela speciale per categorie particolari di dati personali alla luce della legislazione nazionale, I diritti tecnologici sui propri dati, La valutazione di impatto privacy, i principi di privacy by design, privacy by default, I registri del trattamento, codici di condotta, certificazioni, sigilli e marchi, Data Security, pseudonimizzazione, cifratura e Data Breach, Il Trasferimento dei dati transfrontaliero e l’autorità capofila, La circolazione dei dati personali. Il trasferimento verso Paesi non UE, La tutela, Fake news, Scuola, formazione e educazione alla lettura delle informazioni e uso dei social media, Sanzioni amministrative, GDPR nel mondo industriale, Misure di sicurezza organizzative, Misure di sicurezza tecniche, Titolare del trattamento, contitolare, responsabile del trattamento e la figura del DPO nel mondo della pubblica amministrazione, Sanzioni penali e reati informatici, Le autorità di controllo degli Stati Membri, il Comitato europeo e l’EDPS, Protezione dei dati personali e sistema bancario-creditizio, GDPR e intelligenza artificiale, GDPR e organizzazione sanitaria, Il valore economico dei dati personali.

ONIF - Convegno su Informatica Forense a Firenze

Seminario ONIF su Informatica Forense a Firenze

Venerdì 31 maggio 2019 si terrà a Firenze il seminario organizzato dall’Osservatorio Nazionale d’Informatica Forense ONIF dal titolo “Orizzonte 2020 Informatica Forense a supporto di Autorità Giudiziaria, Studi Legali, Aziende, Forze dell’Ordine e Privati”. La conferenza avrà luogo nella Sala Verde presso il Palazzo Incontri, in Via de Pucci 1 e durerà tutta la mattinata del 31 maggio, con coffe break offerto dall’Associazione ONIF per i partecipanti.

ONIF - Convegno su Informatica Forense a Firenze

Durante il seminario verranno trattati diversi argomenti relativi alle attività di perizia informatica e indagini digitali che i consulenti informatici forensi trattano quotidianamente durante il loro rapporto con l’Autorità Giudiziaria, gli Studi Legali, le Forze dell’Ordine, le aziende o i privati per cui prestano il loro servizio. In particolare, verranno approfonditi argomenti di attualità come la problematica della cloud forensics all’interno delle attività di mobile forensics, il rispetto per la Legge 48/2008, il registro olandese degli esperti NRGD, la manomissione di messaggi Whatsapp, l’utilità della digital forensics nella gestione di data breach e violazione dei dati e le tecniche di video forensics e perizia tecnica su immagini e video.

Il programma del convegno sull’Informatica Forense e Digital Forensics organizzato da ONIF a Firenze e moderato dalla Giornalista Dott.ssa Valentina Roselli è il seguente:

9:00 – Registrazione
9:15 – Apertura lavori: Banca Intesa Sanpaolo, Fondazione Forense di Firenze e Dott. Nanni Bassetti, Segretario Nazionale ONIF
9:30 – Le nuove regole e la revisione dell’albo CTU del Tribunale di Firenze, Ufficio di Presidenza del Tribunale di Firenze
10:00 – Il Netherlands Register of Court Experts (NRGD), Dott. Mattia Epifani
10:30 – Legge 48/2008, attesa quanto ignorata: dieci anni di casi reali, Ing. Paolo Reale e Avv. Elisabetta Guarnieri
11:00 – Break
11:20 – Analisi di dispositivi mobile: stato attuale, integrazione con il cloud e difficoltà future, Ing. Michele Vitiello e Dr. Paolo Dal Checco
11:40 – Rilevamento e conseguenze delle manomissioni sui messaggi WhatsApp Dott. Andrea Lazzarotto
12:00 – Digital Forensics Data Breach: perché gestire la violazione dei dati in maniera forense, Dott. Alessandro Fiorenzi
12:20 – Immagini e video digitali come fonte di prova, Dott. Massimo luliani
12:40 – Saluti e chiusura

La brochure del seminario sull’Informatica Forense organizzato da ONIF a Firenze è disponibile per il download al seguente link.

Brochure del seminario su Informatica Forense ONIF a FirenzeScarica

Si prega chi fosse interessato a partecipare all’evento di utilizzare, per l’iscrizione, il modulo presente sul sito EventBrite così da allocare i posti che sono, purtroppo, limitati a causa della dimensione della sala.

Cyber Crime Conference 2019 a Roma - Blockchain Security

Blockchain Security alla Cyber Crime Conference di Roma

Il 17 aprile sarò moderatore a Roma della tavola rotonda su un argomento molto attuale, la “blockchain security”, con il compito di coordinare gli interventi di esperti come Vincenzo Aguì, Chief Security Officer, il Prof. Francesco Buccafurri, Professore Ordinario di Sicurezza Informatica, Università Mediterranea di Reggio Calabria, il Col. Giovanni Reccia, Comandante del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza e l’Avv. Fulvio Sarzana, Avvocato e Professore Straordinario di Diritto Comparato delle Nuove Tecnologie (intelligenza artificiale, IoT e blockchain) presso Università telematica internazionale UniNettuno di Roma.

Cyber Crime Conference 2019 a Roma - Blockchain Security

L’argomento della tavola rotonda che si terrà a Roma è la sicurezza della blockchain, problematica spesso sottovalutata quando invece la blockchain viene troppo spesso considerata una potenziale soluzione per la gestione dei Big Data, delle votazioni online, degli strumenti finanziari, della Supply Chain, di contratti e persino di proprietà reali oltre che di “token” digitali.

La domanda che ci porremo durante la tavola rotonda è “quanto è veramente sicura questa tecnologia e quali soluzioni e protocolli possono poggiare solidamente su di essa?”.

Durante la tavola rotonda, sentiremo diverse opinioni e punti di vista autorevoli con i quali cercheremo di delineare le potenzialità e i limiti di quanto a oggi viene utilizzato come esempio di decentralizzazione, immutabilità e trasparenza fino a vedere nella blockchain come lo strumento ideale per gestire votazioni, tracciamento e persino proprietà immobiliari. Grazie a protocolli crittografici e distribuiti, la blockchain permette certamente di far interagire realtà diverse ed eterogenee che arrivano in accordo a generare un dato condiviso, ma il rischio che qualcosa sfugga al controllo è comunque dietro l’angolo ed è proprio ciò di cui parleremo durante gli interventi degli autorevoli ospiti che avrò l’onore di moderare a Roma durante la Cyber Crime Conference.

Le problematiche che verranno affrontate saranno quelle dei fattori legati alla sicurezza e dei potenziali attacchi che possono essere portati avanti nei confronti di registri distribuiti, di tracciamento, anonimato, privacy e data protection – in particolare nell’ottica del GDPR – ma anche di compromissione o furto dei dati, token o criptomonete. Gli aspetti di rischio infatti sono quelli che rendono a oggi aziende, governi e investitori ancora cauti nell’utilizzo sul campo delle tecnologie che sembrano però fortemente corteggiare e per le quali tutti auspicano non solo una regolamentazione giuridica ma anche una robustezza tecnologica.

In ultimo, si affronteranno le questioni legate alla cybersecurity, digital forensics e intelligence sulla blockchain che permettono da un lato di prevenire o rilevare attacchi e dall’altro di analizzare eventuali reati commessi per poterne delineare i contorni e potenzialmente ricondurli agli autori.

Per informazioni o iscrizioni, consigliamo di consultare il sito di ICT Security Magazine nella sezione dedicata alla Cyber Crime Conference 2019 a Roma.