Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.
Venerdì 13 settembre 2019 si terrà a Milano la quarta lezione del modulo “Modulo IV: Privacy, comunicazioni elettroniche e internet” del Master Universitario di secondo livello per “Data Protection Officer (DPO)” organizzato dal Politecnico di Milano tramite il Consorzio Poliedra.
Come parte del corpo docenti del Master DPO, durante la lezione di venerdì parlerò degli attacchi a sistemi informatici e delle misure minime di sicurezza nelle pubbliche amministrazioni, con cenni sulle tecniche di valutazione d’impatto, l’integrità e sicurezza dei dati e le nuove infrastrutture critiche.
L’obiettivo del Master per Data Protection Officer è quello di fornire un quadro della disciplina in tema di protezione dei dati, a seguito dell’entrata in vigore del Regolamento Europeo (679/2016) in luogo del Codice Privacy (d.lgs. 196/2003). In questo scenario aziende, autorità ed enti pubblici dovrebbero essersi adeguati alla nuova normativa, assegnando all’interno della propria struttura o rivolgendosi a professionisti esterni, la funzione di “responsabile della protezione dei dati”, il quale, oltre ad un bagaglio di conoscenze normative di settore, dovrà assicurare conoscenze avanzate di security e di sistemi informativi.
Il Master DPO che si terrà a Milano, organizzato dal Politecnico e da Poliedra, mira a formare un profilo specialistico di Responsabile della protezione dei dati, il Data Protection Officer – DPO, figura di riferimento in materia di protezione dei dati personali per tutti gli Enti Pubblici e le Pubbliche Amministrazioni (centrali e locali), e, dove previsto, nel settore privato.
Per il master universitario di secondo livello sono previsti sei moduli specialistici, con un tirocinio/stage finale presso enti:
La protezione dei dati personali nell’ordinamento italiano ed europeo;
Modalità organizzative e prime indicazioni operative per l’adeguamento alle previsioni del regolamento UE e n. 2016/679 (GDPR) nel settore privato;
Strumenti tecnici per l’adeguamento alle previsioni del regolamento ue n. 2016/679;
Privacy, comunicazioni elettroniche e internet;
Il trattamento dei dati personali in ambito pubblico e la conoscibilità delle informazioni pubbliche;
Privacy e smart cities.
Il programma di dettaglio della lezione del Master DPO di Milano sarà il seguente:
Gli attacchi ai sistemi informatici e il crescente fabbisogno di misure minime di sicurezza delle pubbliche amministrazioni – Parte 1
Il DPO e la valutazione di impatto nelle PA: una nuova opportunità per riprogettare la diffusione dei dati digitali
Integrità e sicurezza delle reti digitali
Le nuove infrastrutture critiche
Gli attacchi ai sistemi informatici e il crescente fabbisogno di misure minime di sicurezza delle pubbliche amministrazioni – Parte 2
Venerdì 11 ottobre 2019 dalle 09:30 alle 17:30 si terrà a Brescia il corso di una giornata su OSINT e l’acquisizione delle fonti di prova online. Il corso, parte della serie Digital Forensics Café organizzata dallo Studio d’Ingegneria Forense di Brescia, è rivolto ad Avvocati (l’accreditamento è in corso), Consulenti Tecnici, Investigatori e Forze dell’Ordine.
Pensato per Professionisti del settore Informatico, Tecnico, Investigativo e Legale, il corso su OSINT e sulla cristallizzazione delle evidenze digitali provenienti dalla rete che si terrà in Lombardia, a Brescia, è destinato a chi è interessato ad approfondire le proprie conoscenze sulle procedure teoriche/pratiche di analisi e raccolta delle informazioni provenienti dalle fonti aperte (OSINT), acquisizione forense di siti web, pagine web, social network o cloud a fini legali con qualche cenno sull’acquisizione di prove digitali in ambito di criptomonete, in particolare i Bitocoin.
Lo scopo del corso che si terrà a Brescia è quello di fornire degli spunti per avvicinarsi al mondo dell’OSINT (Open Source Intelligence) adottando, una volta trovati gli elementi di prova, la corretta procedura di acquisizione forense e cristallizzazione delle prove online da siti e pagine web, email, profili Facebook, Twitter, Linkedin, chat come Telegram o Whatsapp o gruppi per uso in Tribunale fino ad arrivare ad accennare alcuni principi che permettono di operare anche in ambito d’indagini sulle criptomonete, tramite tecniche di bitcoin forensics.
Durante il corso di Brescia i partecipanti impareranno le principali tecniche di ricerca da fonti aperte tramite metodologie e strumenti di OSINT, ascolteranno alcuni cenni su cosa sono i Bitcoin, come si producono, trasferiscono, convertono e come si possono fare attività investigative informatiche nel complesso mondo delle cryptomonete, nello specifico dei Bitcoin. Delle nozioni apprese verranno mostrati test ed esempi di attività in tempo reale.
I destinatari del corso su OSINT a Brescia sono Consulenti Informatici Forensi, Ingegneri o Esperti in Ingegneria Forense, Investigatori Privati, Forze dell’Ordine, Avvocati, CTU, CTP, CT del PM, Periti, Responsabili dei Sistemi Informativi, Responsabili di Sistemi di Pagamento, Responsabili di Progetti Internet/Intranet, Responsabili E-Commerce, Sistemisti e operatori del settore ICT, Responsabili della Sicurezza Informatica, Responsabili EDP e CED, Responsabili di Rete, Amministratori di Rete, Responsabili di Siti Web, Studenti Universitari, Consulenti Tecnici, appassionati di Cyebr Crime, Informatici Forensi.
A tutti i partecipanti verrà rilasciata una pergamena con attestato di frequenza a firma del Docente e del Direttore Scientifico valevole per ogni uso di legge.
La durata del corso è dalle 9.30 alle 17:30 con coffee break gratuito e pausa pranzo libera a metà giornata. La sede del corso su OSINT e acquisizione delle prove da Internet è a Brescia, in Via Cefalonia, 70, presso lo Studio d’Ingegneria Informatica Forense. Il costo del corso è indicato alla pagina d’iscrizione, mentre è gratuito per le Forze dell’Ordine.
L’aula che ospiterà il corso a Brescia, in Lombardia, ha una capienza di 30 persone, oltre le quali non saranno accettate ulteriori iscrizioni.
Il programma di dettaglio del corso di Brescia su OSINT e cristallizzazione di pagine e siti web è il seguente:
Introduzione all’OSINT;
Le basi del web e dei motori di ricerca;
Metodologie e strumenti principali di analisi;
OSINT su siti web;
Ricerche su profili e social network;
Analisi di indirizzi di posta e numeri di telefono;
Le basi dell’informatica forense;
Principi di acquisizione delle evidenze digitali;
La raccolta di prove su web;
Strumenti e metodologie di acquisizione forense di pagine web;
Raccolta di contenuti dinamici o protetti da autenticazione;
Di recente pubblicazione, il manuale “Global Guidelines for Digital Forensics Laboratories” scaricabile gratuitamente dal sito dell’Interpol contiene 80 pagine di linee guida atte a definire le procedure per strutturare un Laboratorio di Digital Forensics oltre a gestire e trattare prove digitali.
Avevamo già presentato le linee guida SWGDE per l’informatica forense, in parte citate all’interno del presente documento, il cui scopo è quello di fare in modo che i paesi membri dell’Interpol siano in grado di produrre evidenze informatiche che abbiano validità giuridica in Tribunale ma anche in ambito di giustizia criminale internazionale.
Dopo una introduzione sulla definizione d’informatica forense, o digital forensics in termini anglofoni, la guida dell’Interpol fornisce indicazioni sui principi con cui devono essere gestite le prove informatiche e apre il campo alla gestione di un laboratorio di digital forensics.
Viene affrontata la questione della sicurezza fisica dei locali, dimensione, struttura, servizi, gestione dei pass dei visitatori per arrivare ai ruoli di gestione del laboratorio, analista, tecnico e amministratore. Vengono trattati argomenti quali la gestione del personale ma anche degli strumenti d’informatica forense e dei software di analisi.
Dal punto di vista operativo, viene presentato il flusso di gestione di una perizia informatica, a partire dal contatto del soggetto che necessita l’attività fino a giungere alla restituzione dei reperti e chiusura del caso. Ogni singolo passo del processo è spiegato in dettaglio, con precisazioni sulla catena di custodia dei reperti, fotografie delle prove elettroniche, analisi e presentazione dei risultati della perizia informatica.
Tecnicamente, vengono mostrate le tipologie di acquisizione live e post mortem, in base alle esigenze di copia forense e analisi tecnica che emergono dall’analisi del caso con approfondimenti sugli strumenti come write blocker, copiatori forensi, formati di copia forense, attività di perizia forense su smartphone e cellulari, tipi di estrazione logica/filesytem/fisica/JTAG/ChipOff/Rooting/Jailbreaking.
Terminata la fase di acquisizione e copia forense, la guida per la gestione del laboratorio d’informatica forense prosegue con preziose indicazioni sulle modalità con cui vengono analizzate le prove digitali tramite indicizzazione, ricerca, filtraggio produzione di una relazione tecnica forense che riporti le conclusioni esperite tramite analisi di navigazione Internet e web, posta elettronica, recupero di file cancellati, cifratura, log, RAM, virtualizzazione.
Ampio spazio viene dedicato, giustamente, alla fase di presentazione dei risultati: dalla scrittura di una perizia informatica, con esempi di perizie informatiche e ragionamenti sulla validità giuridica delle prove digitali analizzate, testimonianza in Tribunale del consulente informatico forense e garanzie sulla qualità del servizio fornito.
Utili appendici al volume con le linee guida per il laboratorio d’informatica forense, una checklist di auto valutazione e una checklist sulle attrezzature indispensabili per un laboratorio di digital forensics.
In aggiunta, sono raccolte in appendice un modulo di registrazione per l’apertura di un caso d’informatica forense e alcuni esempi di moduli da compilare per la gestione della catena di custodia dei reperti e delle evidenze digitali, con un foglio di lavoro da utilizzare per i report di acquisizione forense e catena di conservazione delle copie forensi da utilizzare come base per i propri moduli di lavoro.
Con un tweet dall’account ufficiale il Team Tsurugi ha fatto sapere che da oggi è disponibile per il download la nuova release della distribuzione per informatica forense, incident response, OSINT e malware analysis “Tsurugi Linux Lab” in versione 2019.1.
Nove mesi dopo la pubblicazione della prima versione della distribuzione Tsurugi Linux – dal nome giapponese ma prodotta da un team di sviluppatori italiani – è scaricabile la versione “Lab” della suite Tsurugi con grandi novità, ottimizzazione di spazio occupato e memoria, maggiore velocità di esecuzione e bugfix.
Di rilevanza la sezione “Computer Vision“, curata da Antonio Broi, con la suite di “face recognition” e “object detection” dedicata al riconoscimento automatico di volti umani e oggetti. La sezione “Computer Vision” è raggiungibile dal menù “TSURUGI->Picture Analysis->Computer Vision” e contiene diversi tool per riconoscimento facciale e di oggetti, configurati e pronti per l’uso.
Anche la sezione OSINT della suite Tsurugi è stata arricchita con decine di tool e strumenti per attività di Open Source Intelligence, configurati e pronti per l’utilizzo immediato, così da far risparmiare tempo a chi intende utilizzarli senza doverli scaricare, testare, configurare e installare.
Ricordiamo che l’opzione OSINT Switcher – presente sia nel menù sia sul desktop – oscura temporaneamente da Tsurugi le voci di menù relative a digital forensics, incident response e malware analysis, lasciando esclusivamente i menù OSINT, Artifacts Analysis, Network Analysis, Picture Analysis, Crypto Currency e Other Tools, modificando anche lo sfondo del desktop per rendere evidente il passaggio alla modalità “OSINT”.
Anche i menù dedicati alla digital forensics e incident response sono degni di nota, disposti indicativamente nell’ordine tipico con il quale si procede durante un’indagine informatica: Imaging, Hashing, Mount, Timeline, Artifacts Analisys, Data Recovery, Memory Forensics, Malware Analysis, Password Recovery, Network Analysis, Picture Analysis, Mobile Forensics, Cloud Analysis, Virtual Forensics, Crypto Currency, Other Tools e Reporting.
Nella sezione “Imaging” sono contenuti i tool per eseguire immagini, copie e acquisizioni forensi, con strumenti come Guymager, ewfacquire, dcfldd, dc3dd, esximager, cyclone, la suite afflib ed ewftools e gli strumenti per recupero dati come ddrescue e dd_rescue. Nella sezione “Hashing” osserviamo i tradizionali tool per generare diversi tipi di hash, inclusi i fuzzy hash mediante il tool “ssdeep”, utili quando gli oggetti da confrontare non sono proprio identici bit a bit. Nella sezione “Mount” risiedono i programmi per montare diversi filesystem e dispositivi, incluse macchine virtuali disci cifrati con bitlocker, shadow copy, il nuovo filesystem di Apple APFS e il coltellino svizzero xmount, che permette di montare – anche in modalità read-write – immagini forensi e convertirle “on the fly”. Il menù “Timeline” contiene i vari software per generare timeline e supertimeline con PLASO, log2timeline, TimeSketch, Yarp-timeline e il “The Sleuth Kit”, provvisto di tutti i tool da linea di comando oltre che della versione “Autopsy” con interfaccia grafica. La voce “Artifacts Analysis” è suddivisa per tipologia di artefatto e sistema operativo, spaziando da Mac/Apple a Boot Code, Browser, Email, Files, File System Google Takeout, Jump List, Metadata, Office Documents, P2P, Registry, Trash e Windows Logs. Decine di tool per esaminare artefatti EXIF ma anche tracce lasciate dagli strumenti di File Sharing Peer to Peer come Torrent ed Emule, registro, cestino, jump list ed eventi di Windows. “Data Recovery” contiene un’intera collezione di tool e script per il recupero dati, immagini, filesystem e artefatti con tool come Bulk Extractor e la sua GUI BEViewer, foremost, scalpel, photorec con la GUI qphotorec, testdisk, RecuperaBit e tanti altri. La sezione “Memory Forensics” raccoglie strumenti per acquisizione e analisi/parsing della RAM come lime, rekall, volatility e tanti altri. “Malware Analysis” è una categoria a sé, con diversi sottomenù contenenti strumenti per analisi di binari, debugger, decoder, analisi Flash, Java e Javascript, memoria, Office e PDF, sandbox, scanner e XOR e tantissimi altri strumenti. Il menù “Password Recovery” contiene tool per recuperare e decifrare/forzare password di file, archivi, pdf, wifi e persino wallet Bitcoin. La sezione “Network Analysis” contiene tutti gli strumenti utili per lavorare in rete e analizzare la rete, a partire da strumenti per raccolta e analisi log, PCAP, portscan, hping, map, scapy, ssldump, torify, Zenmap e tanti altri. Il menù “Picture Analysis” raccoglie strumenti per analisi forensi su immagini, steganografia, analisi exif ma anche la sottosezione “Computer Vision”. La categoria “Mobile Forensics” raccoglie invece tutti gli strumenti utili per acquisizioni e analisi di smartphone e cellulari, suddivisi per sistema operativo con tool per acquisire analizzare iPhone, iPad e tablet Apple con iOS, Android e Blackberry, con alcuni tool per parsing e analisi dei database Whatsapp e un browser per database SQLite, sempre utile quando si analizza il contenuto di copie forensi di smartphone. La voce “Cloud Analysis” contiene strumenti per cloud forensics o analysis, con tool come aws_ir e aws_respond, sshfs, s3fs, margaritashotgun e Turbinia. “Virtual Forensics” contiene i tool per analisi forense e conversione di macchine virtuali in diversi formati, oltre a docker. La sezione “Crypto Currency” contiene strumenti per attività di bitcoin forensics, utili ad esempio per generare, aprire, analizzare wallet Bitcoin, ricercare indirizzi bitcoin, transazioni, chiavi private su copie forensi o hard disk e forzare password dei più svariati wallet. La sezione “Other Tools” contiene strumenti non classificabili direttamente nelle sezioni precedenti, come tool per NFC, strumenti di auditing come Lynis, multidiff, TCHunt-ng o USBGuard. Infine, la sezione “Reporting” contiene software utile per la parte di raccolta delle evidenze, reportistica e redazione della relazione tecnica forense.
Fuori dal menù TSURUGI sono presenti strumenti di word processing e fogli di calcolo con tutta la suite LibreOffice, strumenti di grafica, analisi video, foto e audio, VPN, Remote Desktop e centinaia di tool di uso comune in ambito di computer e digital forensics, incident response, OSINT e malware analysis.
Altre feature spesso sottovalutate sono la tastiera e il mouse virtuale, che permettono di utilizzare la distribuzione live anche su dispositivi con porte USB occupate, poche porte USB (es. il Macbook Air con una sola porta USB) e indisponibilità di hub o su piattaforme dove mouse e tastiera hardware non vengono correttamente riconosciuti.
Da segnalare infine – elemento essenziale per attività di digital forensics – come dalla release di Tsurugi Linux Lab 2019.1 viene assicurata la funzionalità di write blocking anche nella versione installata, che nella release precedente era prerogativa solamente della distribuzione avviata in modalità “live”.
La suite Tsurugi è prodotta attraverso lo sviluppo di tre diversi componenti, tutti distribuiti gratuitamente, scaricabili dal sito Tsurugi-Linux.org e progettati per diverse esigenze:
Tsurugi Acquire (versione a 32 bit, limitata ai soli tool per acquisizione forense e triage/live preview, ideale per avvio in ram tramite modalità kernel “toram”);
Bento (portable toolkit per DFIR, raccolta di strumenti per attività di digital forensics e incident response).
La nuova release 2019.1 di Tsurugi Lab è scaricabile liberamente dal sito ufficiale Tsurugi Linux, direttamente dalla pagina Downloads alla quale si trovano i vari mirror. L’immagine ISO tsurugi_lab_2019.1.iso ha dimensione 4,152,360,960 byte e si può avviare in macchina virtuale, installare sul disco di un PC, masterizzare su DVD o riversare su pendrive USB tramite i tool UnetBootIn o Rufus.
Rispetto all’edizione precedente, ci sono novità anche nel Team Tsurugi, che dal 2019 vede nello staff, oltre a Giovanni Rattaro, Marco Giorgi e Davide Gabrini anche Francesco Picasso, Massimiliano Dal Cero e Antonio Broi.
Consigliamo, dopo il download della ISO di Tsurugi Lab, di verificare la signature GPG “tsurugi_lab_2019.1.iso.sha256.sig” del file contenente il valore hash SHA256 “tsurugi_lab_2019.1.iso.sha256” apposta dal Team Tsurugi tramite la chiave pubblica ufficiale del “tsurugi_linux_pub_key_BC006C0D.asc“, con il seguente procedimento:
E’ importante ottenere il seguente messaggio di conferma di validità della firma GPG, per essere certi che l’immagine ISO scaricata si quella originale prodotta dagli sviluppatori:
gpg: Good signature from "Tsurugi Linux Core Develop <[email protected]>" [sconosciuto] gpg: aka "Tsurugi Linux info <[email protected]>" [sconosciuto]
E’ comunque sempre possibile – per quanto il procedimento migliore sia la verifica della firma gpg – calcolare i valori hash MD5 e SHA256 dell’immagine in download e verificarli rispetto a una fonte affidabile, che dovrebbe essere in generale il sito degli sviluppatori o frutto di una ricerca su Google.
Il 9 novembre 2019 avrò luogo a Bologna la tredicesima (!) edizione della conferenza HackInBo, evento totalmente gratuito sulla sicurezza informatica che si tiene almeno due volte l’anno a Bologna. Come ogni anno, gli interventi verranno selezionati tra coloro che si candidano alla call for papers da una commissione composta da Stefano Zanero, Paolo Dal Checco, Mattia Epifani, Gianluca Varisco, Carola Frediani, Francesca Bosco oltre ovviamente all’organizzatore dell’evento Mario Anglani.
Gli argomenti sui quali possono essere proposti gli interventi da parte dei candidati relatori sono: Web Application, IoT, Malware Analysis, Security, Digital Forensics, Phishing, Reverse Engineering, Crittografia, Mobile Security, Networking, Automotive, Critical Infrastructure, OSINT, Cryptocurrencies, Social engineering o qualunque argomento possa essere d’interesse per una comunità di esperti o semplici appassionati di sicurezza, informatica forense, automotive, OSINT e criptomonete.
Gli interventi aventi carattere innovativo o inedito avranno la priorità. Non saranno presi in considerazione, nel modo più assoluto, interventi mirati alla promozione di tecnologie commerciali specifiche, servizi commerciali e affini. Sarà valutata positivamente la completezza della proposta e delle informazioni di accompagnamento, così come l’esperienza del relatore o la sua partecipazioni ad altri eventi riguardanti la sicurezza delle informazioni.
Le date importanti per la call for papers sono le seguenti:
17 Giugno 2019: Apertura CFP
31 Agosto 2019: Chiusura CFP
9 Settembre 2019: Data entro la quale saranno avvertiti i relatori
9 Novembre 2019: Evento HackInBo a Bologna
Chi è interessato a candidarsi come relatore può cliccare sul seguente link e partecipare alla call for papers di HackInBo 2019.
