Archivi autore: Paolo Dal Checco

Informazioni su Paolo Dal Checco

Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.

DFA Open Day 2017 a Milano

GDPR, Protezione dei Dati e Investigazioni Aziendali al DFA Open Day 2017

DFA Open Day 2017 a MilanoMercoledì 27 settembre si terrà a Milano il consueto appuntamento con il DFA Open Day, la giornata organizzata dall’associazione Digital Forensics Alumni di Milano, dedicata all’informatica forense in tutti i suoi aspetti, tecnici e giuridici.

Quest’anno i temi trattati durante la conferenza saranno GDPR e Investigazioni Aziendali oltre a Cifratura e Anonimizzazione come strumenti a supporto delle Investigazioni Digitali. I relatori sono esperti noti nell’ambiente della digital forensics, con ampia esperienza sui diversi aspetti che verranno trattati e approfonditi durante la giornata e ottima capacità di presentare al pubblico argomenti non facili da trattare.

Il seminario si terrà mercoledì 27 settembre 2017, dalle ore 08:30 alle 14:00 nell’aula Malliani, presso l’Università degli Studi di Milano in via Festa del Perdono 7 a Milano.

La partecipazione è libera con iscrizione gratuita da fare tramite piattaforma EventBrite all’indirizzo http://dfaopenday2017.eventbrite.it.

Il programma della conferenza è il seguente:

8.30 – 9.00 Registrazione partecipanti

9.00 – 9.15 Saluti iniziali e presentazione attività DFA
Avv. Valerio Vertua, Presidente Consiglio DFA

9.15 – 9.45 Presentazione dei Corsi di Perfezionamento
Prof. Avv. Pierluigi Perri, Università degli Studi di Milano

9.45 – 11.45 1° Sessione “Cifratura e Anonimizzazione: tecniche e strumenti giuridici a supporto delle Investigazioni Digitali
Avv. Gian Battista Gallus
Andrea Ghirardini, Digital Forensics Analyst
Ferdinando Ditaranto, Digital Forensics Analyst
Moderatore: Avv. Donato Muscatella

11.45 – 12.15 Intervallo

12.15 – 13.45 2° Sessione: GDPR e Investigazioni Aziendali
Avv. Giuseppe Vaciago
Avv. Andrea Stanchi
Moderatore: Mattia Epifani, Digital Forensics Analyst

13.45 – 14.00 Considerazioni finali e saluti

HackInBo 2017 Winter Edition a Bologna

HackInBo, aperte Iscrizioni e Call for Paper per i relatori all’Evento

HackInBo 2017 Winter Edition a BolognaAperte questa notte le iscrizioni per partecipare ad HackInBo, una delle più note conferenze in ambito cyber security che si svolgono in Italia, nella sua edizione invernale che si terrà a Bologna sabato 14 ottobre 2017 presso il Best Western Plus Tower Bologna, in Viale Ilic Uljanov Lenin.

HackInBo è un evento totalmente gratuito sulla Sicurezza Informatica, che si tiene due volte l’anno nella città di Bologna dal lontano 2013. Durante la conferenza si ha l’occasione per parlare e incontrare esperti del settore in un’atmosfera rilassata e collaborativa, rimanendo aggiornati sulle ultime tematiche riguardanti l’ICT Security

L’evento è rivolto ai dirigenti d’azienda, manager IT, sistemisti ma anche semplicemente appassionati d’informatica, sicurezza e digital forensics.

L’iscrizione può avvenire online attraverso la piattaforma Eventbrite, i posti sono 400 ma si esauriscono in fretta, quindi consigliamo di non indugiare e, se interessati, riservare gratuitamente il proprio posto, con l’invito a liberarlo il prima possibile, sempre tramite la piattaforma Eventbrite, nel caso in cui per qualunque motivo non poteste partecipare all’evento.

Per la scelta dei relatori è stata aperta la call for papers, un invito a candidarsi con proposte di talk che verranno valutate da una commissione di cui ho l’onore di fare parte insieme a Stefano Zanero, Andrea Barisani, Igor ‘koba’ Falcomatà, Mattia Epifani e Gianluca Varisco. Le proposte saranno valutate con attenzione, in base a diversi parametri, e alle migliori verrà assegnato uno slot durante la conferenzs HackInBo di sabato 14 ottobre 2017. Alcuni relatori saranno invitati direttamente da Mario Anglani, come da tradizione, quindi il panel finale di speaker sarà composto da relatori che hanno proposto la loro candidatura e relatori scelti per meriti scientifici, accademici o divulgativi.

Gli argomenti su cui proporre un talk sono Web Application, IoT, Malware Analysis, Security, Digital Forensics, Informatica Forense, Phishing, Reverse Engineering, Crittografia. Mobile Security, Networking, Automotive, Critical Infrastructure o altri a piacere che riguardino il mondo IT, dell’hacking e della sicurezza informatica nei suoi diversi aspetti.

I controlli difensivi secondo l'Avv. Antonino Attanasio di IISFA

L’Avv. Antonino Attanasio sui controlli difensivi per IISFA for you

I controlli difensivi secondo l'Avv. Antonino Attanasio di IISFA Abbiamo già parlato dell’ottima iniziativa chiamata “IISFA for you“, novità proposta dall’Associazione IISFA e in particolare del suo Presidente Gerardo Costabile che prevede la pubblicazione settimanale di brevi video di 10 minuti su argomenti relativi all’informatica forense e alla sicurezza.

Delle interviste già pubblicate sul canale, una in particolare ho trovato interessante perché parla di una problematica che tutti i proprietari d’azienda si trovano ad affrontare prima o poi e, quindi, indirettamente anche i consulenti informatici forensi e gli Avvocati chiamati ad assistere il cliente.

L’intervista è quella realizzata da Gerardo Costabile all’Avv. Antonino Attanasio, membro del direttivo IISFA, che si occupa da diversi anni di diritti delle nuove tecnologie ed è specializzato in ambiti aziendali, tributari e amministrativi sempre legati alle nuove tecnologie.

L’intervista verte su un tema abbastanza dibattuto all’interno delle aziende e cioè i cosiddetti controlli difensivi, svolti dal datore di lavoro nei confronti del lavoratore dipendente o ex dipendente. Molto spesso la problematica è nota come la questione dei controlli sul computer del dipendente infedele o dell’ex dipendente e se ne dibatte da anni, giostrandosi tra lo Statuto dei Lavoratori, il Garante della Privacy, la legge su accesso abusivo, violazione di corrispondenza, GDPR, D.Lgs 231, etc…

Approfittando di una recente sentenza di conferma di licenziamento avvenuto tramite Whatsapp, Gerardo Costabile apre l’intervista chiedendo all’Avv. Attanasio qual è la modalità giusta e quali sono le regole all’interno dell’azienda per poter consentire al datore di lavoro, o comunque al management, di effettuare quelli che vengono chiamati in gergo i cosiddetti controlli difensivi dei lavoratori da parte del datore di lavoro.

L’avv. Attanasio risponde che “nel 2015 una riforma della normativa del mercato del lavoro ha introdotto il cosiddetto ‘divieto flessibile’ di controllo distanza dell’attività dei lavoratori. Mentre prima non era consentito l’utilizzo di impianti audiovisivi e altri strumenti da cui derivava la possibilità di controllare a distanza l’attività dei lavoratori, adesso questo utilizzo è consentito, per esigenze organizzative produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.“. Attanasio precisa che “questo elenco non è un elenco casuale ma una gerarchia precisa, perché il patrimonio aziendale è riassuntivo delle esigenze organizzative produttive e della sicurezza del lavoro, che sono i tre elementi, le tre colonne portanti di qualsiasi azienda, senza le quali il patrimonio non è possibile.

L’Avvocato aggiunge che “questo patrimonio non è costituito solo dei beni dell’azienda ma anche il posto di lavoro e patrimonio aziendale, quindi una tutela va concepita anche in funzione del lavoro di tutti, infatti parliamo di organizzazione. Si parla di organizzazione, di esigenze organizzative e quindi di beni e persone. Qual è l’eccezione a questo? L’eccezione a questo sono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi delle presenze. E questo è ovvio perché le presenze e gli accessi sono connaturati alla prestazione al patrimonio aziendale, sono connaturati all’esecuzione del contratto, quindi per questi non si parla di controllo e quindi non c’è la necessità di una preventiva autorizzazione. Ovviamente se a questo vengono aggiunti altri temi che sono sovrabbondanti rispetto lo scopo, allora il divieto scatta. In effetti possiamo dire che la riforma del così detto Jobs Act non è altro che la traduzione, in parte, di tutto quello che la giurisprudenza ha elaborato. Soprattutto rimane sempre il succo della normativa sulla privacy che dice che in fondo i dati non possono mai essere utilizzati oltre lo scopo per cui sono dichiaratamente raccolti.

Attanasio introduce quindi il concetto di strumenti personali e strumenti aziendali, precisando che “ben venga la distinzione tra strumenti personali strumenti aziendali. Sarebbe opportuno separare le due sfere, fare modo che l’azienda sia un patrimonio veramente condiviso, sia come tempo libero, sia come tempo destinato all’attività lavorativa. Come al solito è meglio la prevenzione di una repressione faticosa, improbabile e soprattutto molto costosa. E’ stato fatto riferimento al licenziamento intimato via Whatsapp dove giustamente, a mio avviso, il tribunale di Catania ha detto che i requisiti di forma ci sono tutti. La comunicazione è arrivata, nel senso che il lavoratore l’ha ricevuta, tanto è vero che fatto ricorso e aveva tutti gli elementi per fare ricorso. È ovvio che al limite poteva essere un problema del datore di lavoro indicare dei motivi puntuali e per i quali c’era la necessità di ottenere un riscontro sulla effettiva ricezione. Paradossalmente gli avvocati del lavoratore avrebbero potuto non far nulla, avrebbero potuto dire che non era dimostrabile che il lavoratore all’ avesse ricevuto o meno, che Whatsapp non è uno strumento di effettivo controllo del datore di lavoro. Quindi io non vedrei problemi su questo. I problemi ci sono laddove si utilizzano strumenti molto invasivi di cui non sia affatto la padronanza in termini di materialità, come può essere qualsiasi bene di compravendita materiale.

Gerardo Costabile chiede quindi all’Avv. Antonino Attanasio ciò che tanti datori di lavoro si chiedono, e cioè “se una persona utilizza un computer, quindi in azienda, un portatile o comunque un computer, il datore di lavoro può durante la sua assenza entrare in quel computer, guardare la posta, guardare Internet, farsi una copia dai dati? E se sì, cosa è possibile e quando, ovvero, in quale contesto aziendale questo è possibile? È necessario fare delle azioni per poter puoi fare questa attività in modo occulto trasparente?

L’avv. Antonino Attanasio risponde che “per quanto riguarda tutta la strumentazione aziendale, in qualsiasi momento, previa adozione di una policy chiara sul punto, ovvero i beni sono accessibili in qualsiasi momento il datore di lavoro. Gli strumenti aziendali no. La casella privata di posta del prestatore di lavoro no, la casella di posta elettronica assegnata dal datore al prestatore di lavoro sempre, perché aziendale. Il confine è questo. È chiaro che in casi dubbi è preferibile sempre una policy aziendale che descriva minutamente tutto l’utilizzo di questi strumenti, ma se vogliamo non è necessario di particolare elucubrazione, basta semplicemente fare ricorso ai principi base del codice civile.

L’Avv. Attanasio procede con un esempio chiarificatore, adducendo che “non ci si fa nessun dubbio che una pala usata da un becchino non possa essere usata per scopi diversi di quello di scavare la terra per la bara, perché ci sono problemi igienici, problemi di sicurezza, problemi di tutela del patrimonio, è chiaro che tu la pala non la si può portare a casa e usarla per altre cose. E’ ovvio ed evidente, basta applicare questi principio di strumenti elettronici, facendo però mente locale sul fatto che lo strumento elettronico per sua natura genera l’immaterialità, l’inconsistenza, e quindi è difficile stabilire dove finisce il diritto e dove comincia un dovere, Per cui la soluzione migliore e la separazione, la qualifica aziendale di qualsiasi cosa impedisce l’uso privato a meno che come capita il datore di lavoro non faccio una deroga, ma si fa una delega poi ne subisce gli effetti“.

Il Presidente IISFA conclude osservando che “questo sicuramente è interessante come principio, noi consigliamo ai dipendenti, ai lavoratori e ai datori di lavoro di separare quello che la vita privata Facebook chat anche lo stesso Whatsapp che può essere utilizzato anche dal computer, come sapete, consigliamo di lasciare un po’ meno tracce, perché poi un’attività investigativa interna per motivi diversi può andare a impattare su dei dati che, impropriamente o involontariamente il dipendente hai inserito perché ha usato lo stesso sistema sia per motivi professionali sia per motivi più ludici privati ,che il datore di lavoro ha consentito senza andare a filtrare.
L’Avv. Attanasio conclude facendo osservare come “con la necessità di integrare persone con disabilità il confine tra privato e aziendale diventerà molto molto evanescente, perché cambierà per forza l’approccio.

L’ATO, Cellebrite e il “leak” della Guida sull’Hacking degli Smartphone

Alcuni giorni fa è uscita su diverse testate giornalistiche di rilievo la notizia della pubblicazione su Linkedin, da parte di un impiegato dell’Ufficio delle Tasse Australiano (ATO), di una guida di hacking degli smartphone [WBM, AI] che spiega passo dopo passo come forzare i cellulari, anche se protetti da PIN. A quanto riportano ad alcune fonti, l’impiegato proverrebbe da task force d’Intelligence e avrebbe fatto delle ricerche sul Dark Web per il Governo [WBM, AI], aggiungendo che altrimenti non si spiega come riesca a forzare le password di cellulari anche se con batteria scarica e persino senza scheda SIM, così da poter recuperare dati anche cancellati, messaggi di testo ed elenco chiamate con strumenti tra i quali quelli prodotti dall’israeliana Cellebrite.

Leak dell'Australian Tax Office di un manuale con tecniche di hacking avanzate

La popolazione australiana si è indignata, temendo che il loro equivalente della nostra Agenzia delle Entrate potesse “spiare” il reddito personale entrando di soppiatto nei cellulari, anche protetti da password. Il Ministro della Giustizia, Michael Keenan, si è detto seriamente preoccupato di questo “leak” dell’Ufficio delle Tasse che illustra le metodologie e gli strumenti di hacking dei telefonini. L’impiegato dell’Ufficio sembra aver subito provvedimenti disciplinari o come minimo un rimprovero e ciò che è certo è che ha rimosso in neanche un’ora la guida e buona parte dei suoi profili sui social network (Linkedin, SlideShare, etc…) mentre l’Ufficio delle Tasse era sommerso di contatti da parte dei giornali.

Ramez Katf, il Direttore Tecnico dell’ATO (Australian Tax Office) ha dichiarato che “l’Ufficio delle Tasse non entra di nascosto negli smartphone dei cittadini e che la parola “hacking” forse è un po’ esagerata, l’Agenzia delle Entrate Australiana non agisce da remoto e comunque non fa nulla di nascosto, senza cioè un Decreto dell’Autorità Giudiziaria”. Katf aggiunge che “è vero, uno dei software citato nelle slide viene effettivamente utilizzato, ma soltanto per indagini su larga scala su frodi o attività criminale e sempre su mandato delle Autorità, senza peraltro agire da remoto, i dispositivi vengono infatti prima prelevati o sequestrati tramite un Decreto del Giudice e poi, tramite il software di acquisizione forense per smarthpone, vengono acceduti i contenuti”. Insomma, la situazione è meno terribile di quanto non sia stata dipinta dai giornali, lascia intendere. “Anche quando viene forzato il PIN o la password di uno smartphone”, continua Katf, “c’è sempre l’autorizzazione dell’Autorità Giudiziaria o il consenso del proprietario del cellulare”. Alcune testate giornalistiche sono persino arrivate http://www.abc.net.au/news/2017-07-12/tax-office-slip-up-reveals-new-phone-hacking-capabilities/8698800

Per qualche giorno le condivisioni di post sull’argomento si sono sprecate, ma nessuno ha approfondito il contenuto effettivo di questa guida (rimossa, appunto, di tutta fretta) e se davvero rappresentasse un pericolo per la sicurezza dei cittadini. Vediamo di recuperare, tramite tecniche OSINT, ciò che rimane di questa guida e del profilo del povero impiegato dell’Ufficio delle Tasse, per scoprire che è tutto un equivoco: la guida di hacking non è altro che una presentazione divulgativa che parla di ciò che gli informatici forensi e gli esperti di sicurezza conoscono ormai da anni.

Google, come sappiamo, memorizza una cache – una sorta di “copia” – delle pagine web che indicizza, che utilizza per poter mostrare agli utenti quale versione della pagina lui sta presentando nei motori di ricerca e su quali parole chiave si basa. A meno che non si provveda alla rimozione manuale dei risultati di ricerca, è spesso possibile accedere alla cache di Google anche per diversi giorni dopo che la pagina indicizzata è scomparsa. Nel caso delle presentazioni SlideShare pubblicate da Linkedin, la pagina cache non conterrà l’intera presentazione ma ne riporterà integralmente il testo, proprio per ragioni d’indicizzazione.

Bene, cercando negli indici di Google le informazioni riportate dai giornali, arriviamo a una presentazione intitolata “Hexadecimal Extraction Theory –Mobile Forensics II“, che tradotta viene più o meno “Teoria dell’Estrazione Esadecimale, Analisi Forense di Dispositivi Mobili 2” di cui viene riportata, dai newspaper, una slide considerata la più significativa.

Pros and Cons of the Shoe Boxes

La pagina contenente la presentazione su SlideShare non esiste più, è stata rimossa dall’utente, ma si può ancora osservare il profilo dell’autore, che si dichiara esperto in Computer Forensics e conoscitore di strumenti d’informatica forense come Encase, X-Ways Forensics, Nuix e Access Data. La pagina punta al profilo Linkedin, anch’esso rimosso, ancora presente però come indice nella cache di Google inclusa la descrizione “Australian Taxation Office”, senza versione cache.

Profilo Linkedin dell'impiegato accusato di aver pubblicato un leak

La presentazione “Hexadecimal Extraction Theory –Mobile Forensics II” è già scomparsa anche dalla cache di Google, se ne trova però una copia su Archive.is dalla quale possiamo ricavare i titoli delle slide considerate così “pericolose” dalle testate giornalistiche:

  • Pros and Cons of the Shoe Boxes
  • Phone Forensics Tools Software
  • XRY VS Shoe box XRY Positive
  • Information required to perform a hex dump
  • Locating information before commencing the hex dump
  • Using Shoe box (UFSx series)
  • Free tools
  • Scenario 1 Extract data from Damaged Nokia phone
  • Using FTK imager to create MD5 hash for extracted mobile data file
  • Date and Time Calculations Date and time entry & Patten
  • HEX examiner examples
  • Exercise 2– Breaking the Hex code using Hex examiner
  • Security key
  • Call records S30’s
  • SMS S40’s
  • Protocol Data Unit (PDU)

Leggendo il contenuto delle slide, si nota come l’autore si limita a presentare alcune delle soluzioni più note in ambito di mobile forensics, disciplina che comprende tecniche e metodologie utilizzate in ambito di perizia informatica per acquisizione forense e recupero dati anche cancellati da cellulare. L’autore presenta vantaggi e svantaggi degli strumenti principali come XRY, Shoe Box, SarasSoft, NAND Downloader, Pandora’s box, HEXexaminer, FTK Imager, Cellebrite, XACT e simili. Si parla di conversione di dati tra diversi formati, metadati EXIF e coordinate GPS, estrazione di dati da cellulari Nokia danneggiati, calcolo dei valori hash tramite FTK Imager per una corretta catena di conservazione.

Salta subito all’occhio che i dati non sono neanche aggiornati: nell’illustrare le diverse codifiche di rappresentazione delle date l’autore cita Blackberry, Nokia e Motorola, tutti praticamente scomparsi, menzionando di sfuggita Samsung e ignorando completamente Apple con i suoi iPhone e iPad. Gli esempi di utilizzo degli strumenti di mobile forensics, tra l’altro, riguardano Nokia S30 e S40, che ormai non si trovano più neanche nei negozi dell’usato.

D’altra parte è chiaro che il target non è prettamente tecnico e quindi i contenuti non sono di alto livello, altrimenti non verrebbe dato peso al fatto che si possono recuperare dati anche da cellulari senza scheda SIM o danneggiati, entrambe cose ormai note a chiunque.

Per chi le cercasse, non ci sono istruzioni passo passo su come entrare in un telefonino e forzare la password da remoto, né guide di hacking avanzato, soltanto elenchi di strumenti con pro e contro, esempi di conversione stringhe e bypass di PIN e password per eseguire attività di acquisizione forense e recupero dati da vecchi cellulari.

Per quanto i giornali vi abbiano dato molto peso, l’israeliana Cellebrite non c’entra nulla con questa faccenda: il loro marchio viene citato una sola volta nelle slide dell’impiegato dell’Ufficio delle Tasse mentre viene data più importanza ad altri tool o metodologie, anche gratuite.

Speriamo quindi che l’impiegato (che non abbiamo voluto citare per mantenere un minimo di anonimato, benché sia facilmente reperibile in rete il suo nome) possa tornare a una vita normale e riaprire il suo profilo su Linkedin dopo questa avventura, continuando a fare divulgazione in ambito di digital e mobile forensics ma sperando di non cadere nuovamente in malintesi che rimbalzando di giornale in giornale aumentano in modo incontrollato la loro portata.

Informatica forense e giuridica in pillole con “IISFA for you”

L’associazione IISFA propone, attraverso il suo Presidente Gerardo Costabile, la nuova rubrica “IISFA For You” con video su Youtube di 10 minuti incentrati su diverse tematiche dell’informatica forense, approfondite da consulenti tecnici e giuristi. Le pillole saranno scelte tra tematiche d’interesse per chi svolte la professione di Consulente Informatico Forense o di Avvocato, con preferenza per gli argomenti legati alle perizie informatiche e alle consulenze tecniche o legali.

Canale Youtube "IISFA For You"

Il canale video su Youtube “IISFA for you: 10 minuti con il Presidente” raccoglierà interviste di 10 minuti realizzate dal Presidente IISFA Gerardo Costabile, tramite videochiamata Skype registrata, agli addetti ai lavori su varie tematiche dell’informatica giuridica e forense. Per chi fosse interessato a particolari tematiche – focalizzate se possibile nell’ambito della sicurezza informatica, digital forensics, informatica giuridica, informatica forense, indagini digitali – eventuali suggerimenti possono essere inviati via mail al Presidente Gerardo Costabile scrivendo all’indirizzo mail [email protected].

Interviste per IISFA For Your del Presidente Gerardo Costabile

I primi due numeri della rubrica con le interviste realizzate dal Presidente Gerardo Costabile sono già stati pubblicati e disponibili per tutti sul canale Youtube “IISFA for you” a questo indirizzo.

La prima intervista riguarda i controlli difensivi del datore di lavoro a tutela del suo patrimonio aziendale, in particolare nei confronti del lavoratore dipendente, dove l’intervistato Avv. Antonino Attanasio illustra potenzialità e limiti delle indagini e controlli difensivi del datore di lavoro sui dispositivi del lavoratore dipendente o ex dipendente.

La seconda intervista contiene un approfondimento sul Bitcoin e le problematiche legate alle indagini digitali su indirizzi, wallet e transazioni, con alcuni cenni al sequestro di bitcoin e criptovalute, dove lo scrivente Paolo Dal Checco introduce i concetti chiave delle monete matematiche e lo scenario delle indagini sul bitcoin che culminano poi, talvolta, nel sequestro delle monete elettroniche.

Per chi ancora non la conoscesse, IISFA è una associazione no profit d’Informatica Forense, nata nel 2007 in Italia, che raccoglie diverse centinaia di soci tra Consulenti Tecnici Forensi, Giuristi, appartenenti alle Forze dell’Ordine o Autorità Giudiziaria, studenti e appassionati della materia con finalità di divulgazione e condivisione della conoscenza. Di recente si è formato il nuovo direttivo IISFA che conferma Gerardo Costabile come presidente dell’Associazione, Giuseppe Mazzaraco come vice presidente, Selene Giupponi come segretario generale, Francesco Scarpa come tesoriere e quattro ulteriori membri del direttivo (Antonino Attanasio, Stefano Aterno, Mario Ianulardo e Davide D’Agostino) che si occupano di diverse attività associative, dalla redazione del memberbook agli ottimi e gratuiti eventi formativi che ogni anno l’associazione offre a soci e non soci.