Archivi tag: linux

Corso OSINT Interforze per FFOO e FFAA – Lab4Int

A pochi giorni dall’apertura, è stato raggiunto il numero massimo d’iscrizioni per il Corso OSINT Interforze di I livello organizzato dall’Associazione Lab4Int, 6 giornate di formazione riservata a FF.OO. e FF.AA. con l’obiettivo di fornire le conoscenze necessarie per la ricerca e la gestione delle informazioni provenienti dalle fonti aperte e delle evidenze digitali presenti nei diversi contesti operativi fin dalla loro individuazione.

Corso OSINT Interforze

Il corso OSINT sulle tecniche di Open Source Intelligence – che si terrà online dal 5 novembre 2020 al 28 gennaio 2021 – prevede parti teoriche ed esercitazioni pratiche per l’utilizzo di software gratuito di ricerca e acquisizione forense di prove digitali ottenute tramite fonti aperte.

Le lezioni sull’OSINT – Open Source Intelligence – si svolgeranno online su piattaforma opensource Jitsi gestita su server dedicato dell’Associazione Lab4Int, che permette – oltre all’interazione audio video tra tutti i partecipanti – anche la condivisione del proprio schermo in modo da seguire passo passo i partecipanti al corso.

I docenti del corso OSINT sulle fonti aperte e le indagini online sono il Dr. Giuseppe Testaì, il Dr. Pier Luca Toselli, il Dr. Paolo Dal Checco, il Sig. Antonio Broi, il Sig. Daniele Pricchiazzi e il Sig. Simone Bonifazi.

Corso OSINT di I Livello organizzato da Lab4Int

Il programma del corso con laboratorio OSINT sulle ricerche online è il seguente ed è scaricabile anche tramite brochure PDF dal seguente link:

Brochure Corso OSINT Interforze Lab4Int – I LivelloDownload
  1. Intro – La rete internet ed i Big data
  2. OSInt e le sue varianti
  3. OSInt and Law Enforcement
  4. OSInt con tool Open Source Linux
  5. Riconoscimento di oggetti e facciale con SO Open Source Linux
  6. Social network ed social network intelligence
  7. OSInt da browser Firefox per GdF proxy dedicato
  8. Programmazione con Python per la creazione tools OSInt Home Made
  9. Salvataggio chat e pagine Social Network con strumenti Open Source Linux
  10. OSInt come strumento di indagine patrimoniale
  11. Acquisizione forense della prova informatica da web ottenuta tramite OSInt
  12. OSInt su Wallet, transazioni e criptomonete
  13. Introduzione a reti anonime, dark web e deep web
  14. Information Gathering
  15. Validazione dei dati da fonti aperte con dati da Archivi di Stato
  16. Modalità pratiche: sicurezza, anonimato, privacy
  17. Cyber Threat Intelligence
  18. Casi Pratici di Open Source Intelligence

Alla luce del fatto che i posti allocati per il corso sono esauriti in pochi giorni, l’Associazione sta pianificando di riorganizzare una nuova edizione del Corso OSINT per il 2021, verranno pubblicate informazioni sulle nuovi lezioni sull’Open Source Intelligence sulsito Lab4Int.

DEFT Zero v 2017.1 stable è disponibile per il download

DEFT Zero - DownloadIndispensabile per acquisizioni forensi di hard disk, pendrive, schede di memoria e supporti ottici, una delle suite di computer forensics più utilizzate dagli operatori del settore, DEFT Zero è stata aggiornata alla versione 2017.1 stable, dopo un periodo di test che ha permesso al DEFT Team e agli utilizzatori di consolidarne la sicurezza e l’affidabilità.

DEFT Zero è una versione light della distribuzione forense DEFT dedicata espressamente all’acquisizione di immagini forensi delle memorie di massa, utilizzata in ambito di perizia informatica da consulenti informatici forensi di tutto il mondo, con il numero indispensabile di tool di acquisizione e preview nello spazio ridotto di 500MB, tale da poter essere riversato su un CDROM o su una pendrive USB e poter essere caricato direttamente in RAM.

La distro live DEFT Zero in versione Stable 2017.1 si può scaricare liberamente in formato ISO da questo link e utilizzre liberamente, essendo composta da tutto software open source dedicato alla digital forensics.

DEFT Zero - Scaricare ISO in Download diretto

Tra le maggiori novità della versione 2017.1 di DEFT Zero troviamo:

  • supporto alle memorie SSD NVMExpress presenti nei Macbook Apple edizione 2015 e successive;
  • supporto per le memorie SSD eMMC presenti in notebook come i nuovi DELL XPS 13 o XPS 15;
  • supporto UEFI per poter avviare il sistema Linux su BIOS con UEFI;
  • aggiornamento librerie e tool di acquisizione forense.

Dato che ormai difficilmente si utilizzano supporti ottici come CDROM o DVDROM per distribuzioni live da utilizzare nell’ambito delle perizie informatiche forensi, si consiglia riversare DEFT Zero su di una pendrive USB, con dimensione almeno 512MB.

Riversare DEFT Zero su pendrive USB o CDROM

Per la creazione di una chiavetta USB per fare boot con DEFT 0 Linux è possibile utilizzare i seguenti strumenti:

Sul sito DEFT è possibile scaricare in download il manuale d’uso in PDF di DEFT Zero stable in italiano e in inglese.

Al link seguente potete trovare l’elenco dei pacchetti installati su DEFT Zero 2017.1 Stable.

Phishing al phisher di Google

Phishing di Account GoogleIl phishing è una delle maniere più facili con le quali i malintenzionati riescono a far cadere in trappola ignare vittime, ingannate da una mail fraudolenta o da un sito web farlocco. Che sia un finto sito di un Corriere, di un Operatore Telefonico o di una Compagnia di Energia Elettrica da cui far scaricare un ransomware o un finto sito di Google creato per rubare nome utente e password.

Questo è proprio il caso della schermata di login fraudolenta, raggiungibile fino a poco tempo fa sul dominio dannytice.com, diffusa via email tramite messaggi di phishing che invitavano a verificare le proprie credenziali di Google o comunque ad accedere alla webmail.

La schermata di phishing che si finge Google era salvata in una cartella riservata di un’installazione bucata di WordPress, come si evince dal percorso “/wp-admin/css/brige/jett/sick.html” che contiene gli script che permettono la raccolta fraudolenta delle credenziali degli utenti. E’ ormai pratica comune quella di bucare siti WordPress vulnerabili per installarvi sopra pagine di phishing, download di ransomware o trojan bancari, script per attaccare altri siti web o server o persino portali per vendita di accessi a siti pedopornografici. In questo caso, l’utente si ritrova in una pagina di login che ben conosce, quella dove Google richiede i dati di accesso per loggarsi sulla casella di posta Gmail.

L’URL ormai non è più accessibile, ma potete vedere come compariva quando era attiva accedendo ad una copia remota ospitata sul sito archive.is. Se non si osserva con attenzione la barra degli indirizzi, la pagina di phishing sembra in tutto e per tutto quella che Google mostra per richiedere i dati di accesso. La pagina è stata rimossa in un paio di giorni e Google ha rilevato, tramite il suo Safe Browsing, la presenza di contenuti sospetti.

Google Safe Browsing

Una volta inseriti i dati di accesso, la vittima viene rediretta verso la vera pagina di Google, che richiederà nuovamente i dati di accesso perché quelli inseriti nella pagina di phishing non vengono passati correttamente. L’utente pensa che ci sia stato un problema di rete, reinserisce login e password e si ritrova nella sua webmail. Il problema è che i dati di accesso ora li ha anche l’attaccante, che li userà per reati come furto d’identità, cercherà nei messaggi di posta informazioni come nomi utente, password, coordinate bancarie, fotocopie dei documenti d’identità e li userà nel modo che riterrà più proficuo. Alternativamente, venderà l’account nel dark web insieme ad altre centinaia di account bucati. Il prezzo degli account bucati può andare da qualche dollaro a qualche decina di dollaro, in base all’affidabilità delle credenziali.

Invece di cancellare la mail e ignorare il problema, ho deciso di provare ad incastrare il phisher, registrando un account Google ad hoc nel quale ho attivato il meccanismo di protezione a due fattori, chiamato anche two factor authentication o verifica in due passaggi.

Google Verifica in Due Passaggi

La verifica in due passaggi (nota anche come “Autenticazione a Due Fattori”, “2FA” o “Two Factor Authentication“) fa sì che l’inserimento di login e password, seppur corretti, non permetta immediatamente l’accesso all’account, ma causi l’immediato invio di un SMS al numero di cellulare prescelto in fase di attivazione. Il messaggio di testo contiene un codice numerico da inserire nella pagina di login, per confermare la propria identità. Il tutto avviene gratuitamente ed è simile al modo di procedere di alcuni servizi bancari, che chiedono al proprietario del conto corrente conferma per poter eseguire il login o inserire disposizioni bancarie.

Poiché, avendo attivato il servizio di autenticazione a due fattori, la conoscenza del login e della password corretti non permette di entrare nella webmail, ho potuto tranquillamente “cadere nel tranello” digitando le vere credenziali all’interno della pagina di phishing del login di Google.

Login sulla pagina di Phishing di Google

A questo punto, il delinquente ha acquisito le mie credenziali e il browser viene rediretto verso la vera webmail Gmail, dove mi vengono nuovamente richieste le credenziali. La prima parte del phishing al phisher finisce qui e non resta che attendere.

Una settimana dopo, arriva un SMS sul numero di cellulare che ho indicato durante la configurazione dell’autenticazione a due fattori per la casella di posta Gmail creata appositamente per questo esperimento.

Google Phishing 2FA

Tre minuti dopo, arriva un secondo SMS, sempre al numero impostato come secondo fattore di autenticazione per l’account Google creato apposta per il test.

Two Factor Authentication e Google Phishing

 

In sostanza, ho sfruttato la pagina creata dal phisher come una sorta di honeypot al contrario. Con gli honeypot si creano servizi volutamente vulnerabili e monitorati in modo da far cadere in trappola gli attaccanti, talvolta distraendoli dai reali obbiettivi strategici. Con questo sistema, ho passato al phisher delle credenziali funzionanti, create apposta per essere monitorate.

Gli SMS mi hanno confermato che il phisher ha abboccato e ha usato le credenziali rubate per verificare la bontà dell’account. Potrebbe anche non trattarsi del phisher, dato che egli potrebbe aver ha venduto le credenziali a un acquirente che ha tentato di utilizzarle. Il doppio tentativo può far pensare a un’attività manuale di un utente che ha provato a reinserire le credenziali, credendo di averle magari digitate male la prima volta.

A questo punto, ho eseguito un login sull’account Google utilizzato come honeypot: ovviamente ho potuto farlo avendo accesso al numero di cellulare registrato come dispositivo di sicurezza per l’autenticazione a due fattori. Ho quindi proceduto a visualizzare la pagina degli alert di sicurezza che Google fornisce a tutti gli utenti per tenerli aggiornati sui dispositivi usati di recente, accedibile da chiunque all’indirizzo http://security.google.com/settings/security/activity?pli=1.

Il phisher di Google in trappola

Google ha identificato il tentativo di accesso fraudolento comunicandomi che “qualcuno ha la mia password, così è stato impedito il login”, loggando l’indirizzo IP utilizzato dal phisher per tentare l’accesso alla casella di posta creata come honeypot. Google ha infatti tracciato il primo dei due tentativi di accesso, anche se è stato eseguito con le credenziali corrette (rubate tramite phishing) ma senza che l’attaccante sia riuscito a confermare il codice di autenticazione a due fattori inviato via SMS al numero di cellulare che ho predisposto per la trappola.

Come si nota nell’immagine, l’indirizzo IP da cui è stato tentato l’utilizzo delle credenziali rubate è italiano e appartiene al range di IP assegnato da WIND Telecomunicazioni S.p.A. Le porte aperte sull’IP, poco dopo il tentativo di accesso al mio account honeypot, erano le seguenti:

[+] Nmap scan report for ppp-xxx-xxx.15-151.wind.it (151.15.xxx.xxx)
Host is up (0.14s latency).
Not shown: 94 filtered ports

PORT STATE SERVICE VERSION
21/tcp closed ftp
22/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0)
80/tcp closed http
81/tcp closed hosts2-ns
443/tcp open https?
3128/tcp open http-proxy Squid http proxy 2.7.STABLE9

Il Sistema Operativo rilevato indica – e lo si intuisce anche dal banner sulla porta 22 – un Linux :

Running (JUST GUESSING): Linux 3.X|2.6.X|2.4.X (93%), Netgear embedded (93%), Western Digital embedded (93%), AXIS Linux 2.6.X (91%), Crestron 2-Series (89%), Vodavi embedded (87%), Check Point embedded (86%), HP embedded (85%)
OS CPE: cpe:/o:linux:kernel:3 cpe:/o:axis:linux:2.6 cpe:/o:linux:kernel:2.6 cpe:/o:crestron:2_series cpe:/o:linux:kernel:2.4.26

Aggressive OS guesses: Linux 3.0 – 3.1 (93%), Netgear DG834G WAP or Western Digital WD TV media player (93%), AXIS 210A or 211 Network Camera (Linux 2.6) (91%), Linux 2.6.38 – 3.2 (90%), Crestron XPanel control system (89%), Linux 2.6.32 – 2.6.39 (88%), Linux 2.6.38 – 3.0 (88%), Linux 2.6.39 (87%), Vodavi XTS-IP PBX (87%), Check Point VPN-1 UTM appliance (86%)

Da questo test è possibile trarre alcune conclusioni:

  • L’autenticazione a due fattori è un ottimo metodo di protezione dal phishing, anche se può essere bypassato con alcuni accorgimenti;
  • Se avessi utilizzato la Google Authenticator App invece degli SMS sul numero di cellulare non avrei potuto rilevare la compromissione in tempo reale, pur essendo in ogni caso protetto dall’accesso non autorizzato;
  • Per tentare di accedere al mio account è stato utilizzato un indirizzo IP italiano: può trattarsi dell’IP di un PC compromesso, di un proxy (la porta 3128 sembra portare in questa direzione), del PC di chi ha lanciato la campagna di phishing o di chi ha acquistato le credenziali rubate.;
  • Il phishing è ancora uno dei metodi più semplici per rubare credenziali da utilizzare poi per furto d’identità, business email compromise (BEC), truffe e ogni tipo di reati che quotidianamente vedono vittime in tutto il mondo;
  • Se vi imbattete in pagine di Phishing, potete segnalarle a Google all’indirizzo https://www.google.com/safebrowsing/report_phish/?hl=it e verranno rimosse in breve tempo dai motori di ricerca e segnalate dal browser Chrome tramite Google Safe Browsing.

DEFT Linux 7.2 ready for download!

Deft Linux 7.2Da oggi è disponibile online l’ultima versione a 32 bit della distribuzione per Computer Forensics e Indagini Digitali DEFT Linux, giunta dopo diversi anni ormai alla 7.2! Masterizzabile su DVD così da poter essere avviata in modalità Live, convertibile in una pendrive per boot da porta USB, installabile su disco fisso e avviabile anche come macchina virtuale VMware, è disponibile nei diversi mirror di download DEFT.

Nata in origine come Live CD, la distribuzione DEFT Linux è ora cresciuta in quanto a occupazione di spazio e strumenti fino a riempire parzialmente un Live DVD (o una Live USB). Vi è infatti dalla versione 7.0 la novità rappresentata dalla raccolta di strumenti di computer forensics per Windows contenuta nella suite DART, sempre parte della ISO di DEFT.

Continua a leggere