Archivi autore: Paolo Dal Checco

Informazioni su Paolo Dal Checco

Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.

Ransomware Day

Oggi presso l’Hotel Michelangelo di Milano si è tenuto l’evento “Ransomware Day”, organizzato da Achab e dedicato a fare il punto della situazione sul ransomware, la piaga informatica degli ultimi anni la cui diffusione non accenna a diminuire.

Durante la giornata gli ottimi relatori, che ringrazio per l’interessante opportunità che hanno offerto fornendo il loro know-how e la loro esperienza di casi reali, hanno parlato di ransomware con particolare accezione a:

modalità di diffusione dei criptovirus;
come prevenire e difendersi dai ransomware;
come decriptare i file cifrati dai ransomware;
casi reali ed esempi di ransomware e richieste di riscatto;
testimonianze di chi ha pagato il riscatto in bitcoin richiesto dai cryptovirus;
implicazioni legali del ransomware e del pagamento del riscatto;
best practice per la prevenzione dai ransomware;
l’importanza del consulente informatico forense in alcuni casi di attacco da ransomware;
importanza del fattore umano nella difesa dai ransomware;
è legale o illegale pagare il riscatto richiesto dai ransomware in bitcoin?
come recuperare i propri file e documenti criptati dai ransomware come Crypt0l0cker;
calcolo del il costo di un “down” dovuto a un attacco da ransomware;
suggerimenti su come ripartire velocemente dopo un attacco di criptovirus.

L’evento “Ransomware Day” è stato sponsorizzato da Datto, Webroot e Digital 4Trade e ha seguito, con tempistiche scandite in maniera precisa, il seguente programma:

9.30 – 10.00 Registrazione partecipanti

10.00 – 10.15 Benvenuto – Andrea Veca, CEO di Achab

10.15 – 10.30 Introduzione alla giornata – Marco Lorusso, Direttore responsabile di Digital4Trade

10.30 – 11.15 Stato dell’arte del ransomware – Claudio Tosi, System Engineer di Webroot

Antivirus lenti ad aggiornarsi, sistemi bucati perché l’antivirus non ce la fa, CryptoVirus sempre più bestiali: come se ne esce? Claudio Tosi analizza il funzionamento dei virus e del malware di oggi, perché l’antivirus tradizionale non è efficace come dovrebbe e cosa offre il mercato per reagire ai virus moderni.

11.15 – 12.00 Riscatto sì, riscatto no – Emanuele Briganti, CIO e CTO di PC System

Le domande e i dubbi sul pagamento del riscatto sono tanti: dove e come si cambiano i bitcoin? E’ il caso di usare una carta di credito aziendale o personale? Come usare un browser “tor”? Come dimostrare la propria identità a chi ci chiede il riscatto? E infine il dubbio cosmico: arriverà mai il decryptor? La situazione talvolta è tragicomica come l’esperienza che racconteremo.

12.00 – 12.45 Implicazioni tecniche e giuridiche dei ransomware e del pagamento del riscatto – Paolo Dal Checco, Professore a Contratto presso Università degli Studi di Torino – Co-fondatore Digital Forensics Bureau

L’intervento mostrerà in un’ottica tecnico/giuridica alcune problematiche legate ai ransomware e al pagamento del riscatto, contemplando i rischi tecnici e legali cui incorrono le parti in causa, anche per via di aspetti spesso sottovalutati. Tramite lo studio di alcuni casi reali, verranno affrontate le questioni che rendono il pagamento del riscatto una pratica delicata che rischia talvolta di rappresentare non la soluzione ma il problema, se non per la vittima, per gli altri attori coinvolti nell’operazione. Durante l’intervento troveranno risposta domande circa le modalità con le quali avvengono i pagamenti in bitcoin, la tracciabilità degli stessi, le possibili indagini nelle quali si può essere coinvolti e i risultati talvolta inaspettati cui sono andati incontro coloro che hanno deciso di pagare.

12.45 – 14.15 Light lunch, networking e desk di approfondimento

14.15 – 15.00 Best practices di prevenzione – Claudio Panerai, CTO di Achab

Un buon antivirus è necessario, il firewall pure. Ma come ridurre al minimo la superficie d’attacco? A parte le misure di sicurezza minime e ovvie, come evitare di essere colpiti dal ransomware? In questo intervento si passano in rassegna le molte forme di protezione che, se messe in opera insieme, possono davvero contribuire a ridurre al minimo il rischio di infezione da ransomware.

15.00 – 15.45 Il fattore umano – Paolo Sardena, Co-fondatore e COO di INTUITY

La quasi totalità del Ransomware è veicolata attraverso mail di phishing. Il phishing è un attacco rivolto alle persone: il phishing è Social Engineering. Una prevenzione efficace nei confronti del fenomeno phishing, e di conseguenza del “ransomware”, non può prescindere dall’educazione delle persone. Fornire a tutti la giusta consapevolezza del problema e le informazioni per riconoscerlo può trasformare il ruolo dell’utente: da essere vulnerabile a elemento di difesa.

15.45 – 16.30 Vincitore o vittima? La scelta è nelle tue mani. Sempre – Andrea Monguzzi, Blogger e titolare di Flexxa S.r.l.

Tra prima e dopo un disastro si estende una landa desolata, una terra di nessuno.
In quel territorio senza legge si gioca la partita più importante il cui esito determina la sopravvivenza o l’estinzione. Una corretta e preventiva pianificazione delle mosse è indispensabile per poter trionfare. Puoi essere tu a decidere se chiudere i giochi da vincitore o da vittima, ma è una scelta che non puoi rimandare a domani.

16.30 – 17.00 Conclusioni, networking e desk di approfondimento

Perizia fotografica sul Demone dell’ex manicomio di Mombello

L’ex ospedale psichiatrico Giuseppe Antonini, noto come il manicomio di Mombello di Limbiate, in provincia di Monza e Brianza, è stato costruito nel XIV secolo, adibito a ospedale psichiatrico nel 1863 è stato chiuso e abbandonato nel 1999 dopo la legge Basaglia. Da allora è meta di appassionati del paranormale che vi organizzano, muniti di macchine fotografiche, cellulari o videocamere, visite alla ricerca di fantasmi e spiriti.

Uno di questi appassionati si è rivolto all’AIPO – Agenzia di Investigazione del Paranormale e dell’Occulto – per chiedere conferma di un particolare emerso da una fotografia scattata nei sotterranei del manicomio. L’AIPO, su autorizzazione dell’autore degli scatti, si è rivolto a noi richiedendo una perizia fotografica dell’immagine, così da poterne valutare l’integrità e l’originalità e l’assenza di manipolazioni.

Lo scatto di cui è stata richiesta la perizia fotografica è stato ripreso nei sotterranei del Manicomio di Mombello a fine marzo 2015 e ritrae un corridoio dove la luce del flash ha messo in evidenza alcuni tubi in primo piano sulla sinistra lasciando però all’oscuro il resto del locale a causa del breve tempo di scatto.

La fotografia è stata scattata con una Nikon D3100 con AF-S DX VR Zoom-Nikkor 18-55mm f/3.5-5.6G e salvata in formato JPEG. A prima vista on si nota nulla di strano, anche ingrandendo i particolari della fotografia, a parte i tubi in primo piano ben illuminati dal flash il resto è troppo scuro per distinguere eventuali oggetti.

Per verificare se nell’immagine compaiono altri elementi oltre ai tubi illuminati dal flash in primo piano possiamo ridistribuire i livelli di chiaro/scuro su una scala più bassa, cioè ampliando l’intervallo di ciò che vediamo come “nero” sullo sfondo e che invece ha all’interno delle differenze di tonalità che non riusciamo ad apprezzare.

E’ possibile bilanciare i livelli in input e output tramite il tool free e open source GIMP oppure anche utilizzando il software “Anteprima” presente in tutti gli Apple Mac OS, utilizzando la funzione “Regola colore”.

Modificando la scala di grigi in input e in output, tramite regolazione delle curve o dei livelli, otteniamo un’immagine dove oltre ai tubi in primo piano si possono osservare gli oggetti presenti nel resto del corridoio del sotterraneo, si nota infatti ora la presenza di un contatore elettrico e di una forma poco distante.

Ingrandendo la parte centrale e ottimizzando l’immagine tramite sharpening e gaussian blur, si può osservare chiaramente una forma che antropomorficamente possiamo interpretare come simile a un corpo umano e che l’AIPO ha soprannominato “il Demone di Mombello” per la sua struttura esile e ambigua. La forma umanoide è posizionata sotto la trave che percorre il soffitto, di fianco alla cassetta elettrica e la sua altezza sembra di circa due metri ipotizzando un soffitto del sotterraneo a circa tre metri. Per chi non riesce a identificare la forma del “Demone”, abbiamo preparato un’animazione dove i contorni vengono delineati in modo graduale.

Non è necessaria una perizia antropometrica forense per osservare come le proporzioni della figura siano sostanzialmente compatibili con quelle del fisico di un uomo, per quanto le gambe siano esili, il busto sia in ombra e il braccio destro si veda poco. Conoscendo le misure del sotterraneo sarebbe anche possibile stabilire – cosa comunemente fatta durante le perizie antropometriche forensi – un sistema di riferimento tridimensionale su cui poi calcolare le misure del corpo come altezza, larghezza del busto e parti del corpo.

Gli esami tecnici eseguiti sull’immagine sono diversi e fanno tutti parte delle metodologie utilizzate nelle perizie fotografiche dove il quesito è quello di rilevare eventuali anomalie o artefazioni. In primo luogo, sono stati richiesti altri scatti eseguiti durante la stessa giornata, possibilmente quelli immediatamente precedenti e successivi, per verificare la coerenza dei metadati exif e la numerazione.

I dati exif risultano sostanzialmente corretti e compatibili con quelli prodotti da una fotocamera Nikon D3100, anche se abbiamo rilevato un’anomalia su alcuni campi che mostrano una differenza rispetto alle immagini presenti e successive. Nell’immagine sottostante, la parte sinistra mostra i dati exif dell’immagine con il “demone” mentre sulla destra abbiamo i dati di alcune altre immagini scattate poco dopo.

L’immagine su cui è stata eseguita la perizia fotografica di autenticazione e una seconda immagine fornita risultano essere state marchiate da “Microsoft Windows Live Photo Gallery” con UUID “faf5bdd5-ba3d-11da-ad31-d33d75182f1b”, come se fossero state riversate su PC, aperte probabilmente tramite Windows Explorer, salvate e poi inviate per le analisi. Riteniamo che queste anomalie non rappresentino una alterazione, poiché probabilmente create nel tentativo di modificare la scala di chiari/scuri per visualizzare eventuali oggetti presenti sullo sfondo anche nella seconda immagine fornita come campione. Le indicazioni su orario, giorno, numero incrementale dello scatto, informazioni sulle impostazioni di scatto e sulla fotocamera sembrano corrette e anche il rapporto di compressione jpg tra le immagini con i dati exif modificati e quelli originali è identico.

Il thumbnail exif risulta corretto e corrispondente all’immagine principale, cosa che talvolta in corrispondenza di alterazioni non avviene perché gli autori modificano l’immagine senza aggiornare anche l’anteprima contenuta nell’immagine stessa. Sono frequenti i casi nei quali sono state rilevate alterazioni alle immagini grazie all’analisi forense delle anteprime exif che contenevano le immagini originali, non alterate o compromesse. Ovviamente l’anteprima è ridotta come dimensioni rispetto all’originale ma si può notare che modificandone la scala di grigi risulta contenere la sagoma sospetta.

Si è quindi proceduto ad eseguire alcune analisi tipiche di photo forensics, come quella del livello di errore nel tasso di compressione delle diverse aree jpg (ELA, Error Level Analysis) che in caso di alterazioni spesso permette d’identificare l’area modificata marcandola con colori più chiari che indicano appunto una differenza nella modalità con la quale sono state compresse le aree contenenti artefazioni. Ovviamente un eventuale malintenzionato potrebbe alterare una fotografia operando modifiche tali da rendere l’analisi ELA neutra, quindi questa verifica non può essere considerata esaustiva ma è certamente un passaggio nelle analisi dell’integrità di fotografie digitali che viene eseguita all’interno delle perizie informatiche forensi su fotografie e video finalizzate a verificare e identificare un potenziale fotomontaggio o manipolazione della fotografia.

Eseguite anche ulteriori analisi e dopo confronto con colleghi abbiamo concluso che non risultano tracce di alterazione, manipolazioni o fotomontaggi nell’immagine fotografica fornita, il che conferma la buona fede di chi ha eseguito e fornito gli scatti e una presunta integrità degli stessi.

Questo non esclude ovviamente attività di staging, cioè di riprese e fotografie “originali” e autentiche di oggetti o soggetti effettivamente presenti nell’ambiente ma preparati ad hoc (es. sagome predisposte per rappresentare soggetti particolari, etc…) o scelti in modo da essere fuorvianti. Gli scatti di questo genere producono quindi fotografie “originali” (nel senso di prive di manipolazioni grafiche post produzione) ma contenenti oggetti o soggetti non reali. Si pensi ad esempio alle foto dei frisbee che vengono presentate come foto di UFO, sono “originali”, integre e prive di forgery o manipolazioni nel senso che non c’è attività di post produzione ma non ritraggono UFO…

Ovviamente possono verificarsi episodi non intenzionali di scatti originali con soggetti la cui identificazione è dubbia. Per questo motivo, pur non trattandosi presumibilmente di un fotomontaggio o di una manipolazione, poco convinti che la sagoma rappresentata fosse davvero quella di un demone, abbiamo deciso quindi di procedere tramite riscontro sull’ambiente fotografato, ipotizzando che il “demone” potesse trattarsi di qualche effetto legato alla conformazione del posto. Si è quindi deciso di eseguire attività di ricerca su fonti aperte OSINT con l’intento di trovare altre fotografie scattate nello stesso corridoio del sotterraneo del Manicomio di Mombello, possibilmente dalla stessa angolazione. Attraverso ricerca su pagine web, social network, Youtube, Flickr, etc… abbiamo trovato un filmato su Youtube che riporta diverse fotografie scattate nel Manicomio di Mombello, una delle quali risulta compatibile con l’oggetto della ricerca: stesso corridoio, stessa angolazione, periodo leggermente diverso.

Il video risulta essere stato girato a febbraio 2014, quindi circa un anno prima dello scatto oggetto della perizia sull’immagine, ma la qualità della fotografia estratta dal filmato Youtube non è sufficiente per le analisi. L’AIPO ha quindi provveduto a contattare l’autore del video per chiedere cortesemente se l’originale, il sorgente della fotografia inserita al minuto 01:46, fosse disponibile per le analisi.

L’autore ha gentilmente concesso all’AIPO di esaminare il sorgente della fotografia per confrontarla con quella oggetto di perizia forense. L’immagine risulta scattata con una Nikon D700 in formato portrait invece che landscape come l’originale oggetto di analisi tecnica, da posizione leggermente più arretrata. Mostriamo qui una versione ritagliata e con la distribuzione di chiari/scuri in modo che l’immagine sia simile a quella della foto oggetto di analisi.

Come si nota già dal filmato su Youtube, la luce del flash è distribuita meglio, illuminando sia i quattro tubi in primo piano sia il fondo della galleria. permettendo d’identificare chiaramente l’arco sotto il quale nell’immagine oggetto di perizia tecnica è presente la figura sospetta, il tubo metallico (leggermente spostato) e il contatore elettrico sulla destra.

Ciò che emerge da una rapida analisi è che al posto della figura del demone, nella fotografia estratta dal filmato di Youtube vi sono delle tubature con una giuntura, che si sviluppano creando una forma tridimensionale, scendendo dall’arco soprastante con la macchia gialla (presente in entrambi gli scatti) e arrivando al pavimento. Mostriamo qui a destra una versione ingrandita e ottimizzata nella distribuzione delle luci e degli scuri sul particolare della zona dove risiedono i tubi o il demone, a seconda di quale versione si preferisca. Il tubo presenta una giuntura in corrispondenza della testa del “demone” e si sdoppia, una tubatura va verso la parete (in corrispondenza del braccio del “demone”) mentre ne scendono due (in corrispondenza delle “gambe” del demone) e una segue una curva proprio in corrispondenza del piede del “demone”.

La spiegazione scientifica del “demone” che compare nella foto originale sembra quindi delinearsi: complici l’oscurità e il flash che nella foto del “demone” ha illuminato con meno chiarezza la galleria rispetto a quella dell’anno prima presente nel video Youtube, si è creato un effetto di chiari/scuri che ha fatto sì che la mente di chi osserva vi veda una forma umana, esattamente in corrispondenza di ciò che invece trattasi di tubature.

Per mostrare meglio quanto ricavato dalle analisi esperite, abbiamo sovrapposto le due immagini passando da una all’altra tramite dissolvenza graduale, così da poter apprezzare il passaggio dalle tubature al “demone” e viceversa.

La corrispondenza è molto marcata, vi sono alcune piccole differenze dovute al fatto che le tubature risultano essere state leggermente spostate durante l’anno intercorso tra i due scatti, in particolare il tubo che percorre la galleria (da cui poi sale quello che va a formare il “demone”) è stato spostato verso sinistra, muovendo quindi anche l’intera figura di tubi che non risulta quindi essere corrispondente 1:1 con il demone.

In conclusione, riteniamo che la fotografia sia autentica, nel senso di priva di forgery o manipolazioni post produzione, ma ritragga un soggetto che viene “percepito” dagli occhi dell’osservatore come una figura umanoide (o un “demone”, come taluni hanno sottolineato) pur essendo in realtà un oggetto diverso. Il “demone” è infatti in realtà un effetto dovuto alla presenza nell’immagine di tubature, conformate in modo particolare, riprese con un grado di luce così basso da generare sfumature nel bilanciamento dei livelli. Non si può escludere, inoltre, la presenza di stracci od oggetti appoggiati sopra ai tubi che nelle fotografie di raffronto sono “puliti” e ben delineati mentre nella foto del demone appaiono meno definiti e più sfocati, certamente anche a causa della poca luce che li illumina.

Speriamo che questo esempio di perizia informatica e fotografica, seppur sostanziale e ridotto alle analisi principali, privo degli aspetti d’informatica forense come catena di conservazione, calcolo degli hash, documentazione tecnica possa essere utile per capire come in diversi contesti le perizie informatiche (fotografiche, audio, video, su computer, cellulari, smartphone, web, social network, etc…) possono essere dirimenti.

Perizia fonica per Le Iene

In diversi mi stanno chiedendo quali software e metodologie di analisi forense ho utilizzato per la perizia fonica su registrazione telefonica eseguita per Le Iene nel servizio di Nicolò De Devitiis andato in onda su Italia Uno domenica scorsa. Per soddisfare la curiosità degli appassionati di audio forensics, a titolo di esempio di perizia fonica, illustrerò quindi brevemente in questo post i passi principali dell’analisi fonica per la verifica della manipolazione con comparazione vocale del file audio fornito per l’analisi.

La puntata de Le Iene, intitolata “La truffa del Sì” cui ho collaborato come perito fonico mostra come il call center che rivendeva contratti di un noto operatore dell’energia ha svolto pratiche commerciali scorrette contattando telefonicamente persone ignare, registrando i “Sì” da esse pronunciati al telefono e montandoli sulla registrazione di una conversazione telefonica durante la quale risulta che la vittima manifesta la sua intenzione di stipulare un nuovo contratto dopo aver disdetto il vecchio registrata in un “verbal order” utilizzato poi dalla Compagnia per migrare effettivamente il contratto come se si trattasse di un vero e proprio contratto cartaceo firmato.

Il verbal order è infatti una modalità di stiuplare un contratto a distanza, in particolare tramite telefono, sempre più diffusa e utilizzata ad esempio per la vendita di servizi e abbonamenti telefonici, di rete fissa o mobile, di pay-tv e abbonamenti satellitari, di prodotti finanziari o per attivazione di contratti di fornitura di servizi energetici. Il verbal order consiste sostanzialmente nella registrazione di una conversazione in cui si svolge una transazione economica, che documenta la correttezza ed autenticità dell’ordine impartito che dovrebbe essere corrispondente a quanto riportato poi sul contratto cartaceo e, ovviamente, a quanto realmente dichiarato dal consumatore.

In casi diffusi è stata, già in passato, riscontrata una difformità tra quanto indicato nel contratto e quanto pronunciato a voce: diversi consumatori lamentano l’inserimento a voce di parole non presenti nel testo del contratto, l’assenza di parole importanti o la sostituzione di alcune parole o frasi.

In questo caso, l’anomalia è particolare: a orecchio si ha già l’impressione che i 12 “Sì” pronunciati dalla Sig.ra Carla sono in realtà sempre lo stesso: gli autori della registrazione hanno infatti registrato quello vero (probabilmente ottenuto come risposta alla domanda circa l’identità della persona chiamata) e poi l’hanno montato come unica risposta in una telefonata in cui si chiedeva consenso per il cambio di gestore dell’energia elettrica.

Per ottenere la dimostrazione dell’identità dei 12 “Sì” e quindi la verifica della manipolazione del file audio, abbiamo proceduto in diverse maniere e con diversi software di audio forensics, commerciali e gratuiti oltre che open source, senza tra l’altro aver avuto bisogno di registrare un saggio fonico poiché la comparazione vocale era da svolgere all’interno dello stesso file:

iZotope RX 5 Audio Editor Advanced (commerciale)
Magix/Sony Sound Forge (commerciale)
Magix/Sony Spectra Layers Pro (commerciale)
Speech Filing System,UCL Phonetics and Linguistics (gratuito e open source)
PRAAT, University of Amsterdam (gratuito e open source)
GIMP (gratuito e open source)
Audacity (gratuito e open source)

Preciso che GIMP non è un software di audio forensics ma è stato utilizzato per mostrare, utilizzando la funzione dei livelli e sfruttandone la trasparenza graduale, la sostanziale identità dei diagrammi generati tramite PRAAT dove risultano evidenti le formanti, il timbro (pitch) e l’intensità della voce della Sig.ra durante la pronuncia della parola “Sì” che è stata poi copiata e incollata per 12 volte nella registrazione La metodologia utilizzata per verificare e dimostrare la manipolazione della registrazione telefonica mediante il montaggio delle parti di audio e la non originalità della telefonata è basata infatti sulla comparazione delle forme d’onda, dello spettrogramma, delle formanti, dei livelli, del timbro (pitch) oltre che dall’ascolto delle componenti ripetute ed estratte dalla traccia integrale.

Ho innanzitutto proceduto con l’estrazione, dalla telefonata registrata fornita alla Sig.ra Carla dopo le sue rimostranze sul cambio indesiderato del contratto, dei 12 intervalli durante i quali si sente la Sig.ra pronunciare “Sì” come risposta alle domande dell’operatore. Per selezionare esattamente l’intervallo corrispondente alla registrazione del “Sì” incollato con funzione di “merge” sulla telefonata pre-registrata, ho utilizzato iZotope RX 5 mettendo in risalto i contrasti delle frequenze nello spettrogramma così da identificare con precisione l’inizio e la fine del pezzo contenente il “Sì” che risulta durare per tutti e 12 i “Sì” esattamente 0.433 secondi.

L’immagine mostra l’analisi e la pulizia della registrazione audio dalle parole pronunciate dall’operatore telefonico, lasciando quindi soltanto ben evidenti le parti con il “Sì” che verranno utilizzate per periziare l’audio e dimostrarne la manipolazione. I segni blu indicano la forma d’onda dei “Sì”: più sono intensi, maggiore è l’intensità in Decibel e quindi il “volume” percepito della voce. Le tracce arancioni e gialle indicano invece le frequenze all’interno dello spettrogramma, dove nel campo del tempo che scorre in orizzontale abbiamo in verticale le frequenze mostrate dalla trasformata di Fourier schiarendo quelle più intense.

Già a occhio nella comparazione dell’audio estratto da tre “Sì” che un perito fonico può eseguire tramite strumentazione come iZotope RX Studio si nota come sia le forme d’onda sia lo spettrogramma dei 12 sì sia praticamente identico. Osservando ad esempio tre “Sì”, è evidente nello spettrogramma la stessa identica “figura” che si ripete uguale nonostante il brusio di sottofondo del call center sia sempre diverso: il “Sì” è stato “mescolato” all’audio della telefonata registrata e non “sostituito”, altrimenti si sarebbe percepito troppo il passaggio. Nel diagramma qui sopra (detto appunto “spettrogramma”) il suono e la voce vengono convertiti in una “forma” nella quale le parti più chiare indicano le frequenze con l’intensità più alta, frequenze che per i tre “Sì” formano la stessa identica forma.

Questo tipo di analisi si sarebbe potuto tranquillamente fare anche con Audacity e Speech Filing System (SFS), tool free e open source utilizzati in ambito di editing e audio forensics, ovviamente con strumenti come iZotope RX Studio o ancora meglio Sony/Magix Spectra Layers Pro si può avere una visione più chiara del fenomeno, che può persino diventare uno spettrogramma tridimensionale, come si può apprezzare nella seguente immagine generata tramite Sony/Magix Spectra Layers Pro, strumento spesso utilizzato da chi esegue attività di perizia fonica.

Si può notare come le tre forme, che ripetiamo sono disegnate a partire dalle frequenze di tre “Sì” presi da punti diversi dalla registrazione dell’operatore, risultano sostanzialmente identiche, cosa praticamente impossibile da realizzare nella realtà anche pronunciando 1.000 volte una stessa parola. La riproduzione tridimensionale dello spettrogramma permette di apprezzare le altezze ruotando la posizione dell’osservatore e confermando ulteriormente l’identità delle parole pronunciate.

Non accontentandoci delle frequenze, abbiamo proceduto ad analizzare le frequenze di risonanza prodotte dalla voce umana, dette formanti, calcolabili ad esempio tramite PRAAT o SFS (Speech Filing System) e riproducibili su di una tabella con il numero di formante come colonna (a partire dalla cosiddetta “fondamentale”∑, F0) e ogni “Sì” come linea.

Le frequenze formanti in genere si calcolano sulle vocali pronunciate dal soggetto e sono caratteristiche del soggetto stesso e della vocale che sta pronunciando. Una volta raccolte le formanti nei vari punti ripetuti della registrazione, è possibile calcolarne la media, la deviazione standard, la deviazione standard media e l’errore percentuale e medio così da dimostrare la perfetta coincidenza (tenuto ovviamente conto del mix/merge con il rumore di sottofondo) del parlato nei punti in cui la Sig.ra Carla pronuncia la parola “Sì”.

Per una visione più chiara delle formanti, utilizziamo il software free ed open source PRAAT, sviluppato dall’Università di Amsterdam, che ci mostra

PRAAT ci permette di eseguire una comparazione vocale “visiva” osservando la sostanziale coincidenza della distribuzione dei punti rossi (che rappresentano le formanti) nello spettrogramma in basso, dellle linee blu (che rappresentano il timbro/pitch) e di quelle gialle (che rappresentano l’intensità della voce) confrontando il fonema di sinistra e quello di destra, corrispondenti a due “Sì” diversi nella registrazione fornita dall’operatore.

Come al solito, un video illustra in modo migliore il passaggio da una immagine all’altra, così presentiamo qui di fianco la transizione tra lo schema prodotto da PRAAT per un “Sì” verso quello prodotto per un “Sì” diverso nella registrazione. Si nota chiaramente come i punti rossi (che identificano le frequenze formanti) rimangono nella stessa area, così come la linea blu (pitch) e quella gialla (intensità), oltre alle sfumature di grigio che identificano lo spettrogramma stesso.

In conclusione, quindi, tramite questo esempio di perizia informatica, in particolare esempio di perizia fonica, abbiamo dimostrato come è avvenuta la comparazione vocale utilizzata per la perizia fonica svolta a supporto del servizio de Le Iene di Nicolò De Devitiis. Tale comparazione vocale ha dimostrato, tra l’altro senza bisogno di saggio fonico, come nella registrazione fornita dall’operatore telefonico alla Sig.ra Carla, la sua voce è stata prelevata e utilizzata per comporre una nuova registrazione, utilizzata poi per disdire il suo vecchio contratto e stipularne uno nuovo.

Una bandiera, il traffico aereo e le stelle per l’OSINT di gruppo di 4chan

Ottimo esempio di OSINT – spiegato tra l’altro come al solito molto bene nel video YouTube dell’amico Matteo Flora – è la vicenda dell’attore Shia LaBeouf e della sua campagna anti Donald Trump mediante trasmissione live della bandiera con lo slogan “He will not divide us” che ha avuto un epilogo davvero interessante, sopratutto dal punto di vista investigativo.

Dopo aver tentato alcune sessioni di streaming in diretta 24/7 per manifestare contro Trump, tutte sfumate perché gli utenti del forum 4chan decisi a prendersi gioco di lui riuscivano ogni volta a identificare la sua posizione per disturbare le riprese, Shia LaBeouf ha pensato di aver trovato la soluzione. Invece di riprendere persone per le strade di città note, facilmente identificabili e quindi facile bersaglio dei troll, ha deciso di manifestare in modo “alternativo”, riprendendo e trasmettendo in streaming 24/7 la sua bandiera posizionata questa volta in un posto segreto, senza alcun riferimento se non il cielo. E il cielo è appunto la fonte aperta che ha permesso alla rete degli utenti 4chan di trovare la bandiera e sostituirla con la loro.

Se in una indagine investigativa basata su fonti aperte venisse richiesto d’identificare dove è stata scattata una fotografia di una bandiera, senza metadati exif e senza riferimenti sullo sfondo, la risposta sarebbe quasi certamente che “è impossibile”. Ma se invece di una foto abbiamo un video trasmesso in diretta, in tempo reale, 24 ore al giorno, dove nel cielo dietro la bandiera passano aerei che lasciano le scie di vapore e di notte si vedono le stelle, possiamo assistere a uno dei pochi episodi d’indagine collettiva basata su fonti aperte.

La comunità si è in fatti messa al lavoro, utilizzando tecniche di giornalismo investigativo che illustriamo da anni nel nostro corso OSINT e analizzando le scie di vapore lasciate dagli aerei sullo sfondo della bandiera, fino a quando alcuni utenti hanno identificato nel video un incrocio tra aerei di cui era presente, nello stesso istante, un riscontro nei database con le rotte in diretta degli aerei di linea. Così come per le navi, infatti, le rotte degli aerei sono pubbliche e così la loro posizione in tempo reale.

Identificata un’area di alcune decine di Km tramite il riconoscimento degli incroci di scie, si è posto il problema di come restringere la ricerca per identificare le coordinate GPS di una zona più ristretta e gli utenti di 4chan sono arrivati in poche ore a una soluzione grazie all’osservazione del movimento delle stelle, di notte, nel cielo ripreso sullo sfondo della bandiera.

Identificate tramite OSINT (Open Source Intelligence) le coordinate GPS di una zona ristretta di alcuni Km di raggio, visibile su Google Maps, era necessario poter circoscrivere la ricerca a un quartiere fino ad arrivare poi alla posizione esatta in cui Shia LaBeouf aveva piazzato la bandiera. Con un’azione repentina, uno degli utenti del forum 4chan si è recato in auto nell’area identificata grazie all’analisi delle scie di vapore degli aerei e delle stelle e ha percorso le strade del circondario suonando il clacson. Dato che la videocamera che riprendeva la bandiera aveva la registrazione audio attiva, è stato possibile per gli utenti di 4chan rimasti a casa al PC avvisare l’utente che stava suonando il clacson nel momento in cui il clacson si è sentito anche nel video, confermando quindi la posizione esatta in cui stavano avvenendo le riprese.

Il resto è storia, la storia di uno dei migliori troll degli ultimi anni (la bandiera infatti è stata sostituita con gran sorpresa dell’attore Shia LaBeouf) riuscito grazie all’analisi delle fonti aperte e alla collaborazione di un’intera rete di utenti che in poche ore, grazie a una sorta di “intelligenza collettiva”, sono arrivate dove probabilmente fior di analisti e professionisti del giornalismo investigativo si sarebbero arresi senza neanche tentare.

Corso su Digital Forensics ed Ethical Hacking

Nei mesi di aprile e maggio 2017, presso l’Ordine degli Ingegneri della provincia di Brescia, si terrà il Corso di Digital Forensics & Ethical Hacking, dove avrò il piacere di partecipare come relatore insieme a docenti del calibro di Giovanni Ziccardi, Nanni Bassetti, Paolo Reale, Andrea Ghirardini, Mattia Epifani, Alessandro Borra, Massimo Iuliani e Lorenzo Faletra, docenti in buona parte afferenti l’Osservatorio Nazionale d’Informatica Forense (ONIF).

L’iscrizione al corso sulla digital forensics che si terrà a Brescia è limitata a 30 partecipanti che potranno seguire 32 ore di formazione pura, sia teorica sia pratica per un costo d’iscrizione di € 414,80 (€ 340 + IVA) ricevendo 32 CFP (per la categoria “corso”).

Lo scopo del corso di Digital Forensics ed Ethical Hacking è quello di fornire degli approfondimenti per chi ha una base di informatica forense e investigazione digitale, materia in continua trasformazione e divenire. Durante il corso i partecipanti potranno aggiornarsi su vari argomenti di informatica forense e potranno seguire dei laboratori pratici, impareranno a trovare file nascosti, a recuperare dati cancellati, a duplicare integralmente informazioni in modo non ripudiabile tramite copie forensi, anche attraverso l’utilizzo di strumenti hardware o software, ricerche OSINT, Bitcoin forensics, crittografia, strumenti e metodologie per eseguire perizie multimediali su immagini e video, tecniche di attacchi informatici, mobile forensics, analisi di tabulati di traffico e strumenti per perizie su celle telefoniche e localizzazione.

Il corso viene interamente svolto in un’aula informatica, con 15 workstation, è possibile portare il proprio laptop per fare test ed esercizi che man mano verranno proposti nei corso di alcuni interventi.

Programma del Corso di Digital Forensics

Verrà consegnata ai partecipanti una pendrive usb con distribuzione CAINE e Parrot Security. Il corso è aperto oltre che agli Ingegneri, a Forze dell’Ordine, CTU, Periti, Investigatori, Informatici, Consulenti, Studenti, Avvocati e Appassionati di Indagini Informatiche.

Di seguito il programma dettagliato del corso di Digital Forensics ed Ethical Hacking che si terrà a Brescia, suddiviso per giornata e docente:

Martedì 11 Aprile 2017

Ore 9-13: Laboratorio di Digital Forensics con sistemi Open Source esempi pratici con Distro Caine, test e analisi forense (Dott. Nanni Bassetti);

Ore 14-18: Ethical Hacking, sistemi di protezione e di attacco di una rete informatica con sistema operativo Parrot Security (Lorenzo Faletra).

Giovedì 20 Aprile 2017

Ore 9-11: Morte del dato, immortalità delle informazioni, diritto all’oblio … La de-indicizzazione come strumento per rimuovere informazioni (Prof. Giovanni Ziccardi);

Ore 11-13: Multimedia Forensics: Tecnologie per l’investigazione di immagini e video digitali – Analisi dei metadati e di codifica – Tracce di singole e multipla compressione, Image and Video Ballistic (Dott. Massimo Iuliani);

Ore 14-18: iOS Forensics – Introduzione alle migliori pratiche per l’identificazione, acquisizione e analisi di dispositivi iOS – Bypass dei sistemi di protezione e limiti attuali, dimostrazioni live e test su dispositivi mobili e cloud (Dott. Mattia Epifani).

Martedì 4 Maggio 2017

Ore 9-11: Digital Forensics e investigazione digitale ruolo e compiti del Consulente Informatico Forense (Dott. Alessandro Borra);

Ore 11-13: Laboratorio Pratico di Informatica Forense – Acquisizione live con duplicatori vari, con Ufed4PC, Analisi con Axiom e Physical Analyzer (Ing. Michele Vitiello);

Ore 14-16: Bitcoin, Dark Web e indagini sulle criptovalute (Dott. Paolo Dal Checco);

Ore 16-18: OSINT e indagini sulle fonti aperte (Dott. Paolo Dal Checco);

Venerdì 26 Maggio 2017

Ore 9-12: Architettura delle reti mobili, analisi dei tabulati di traffico e relativi strumenti, localizzazione tramite analisi delle celle telefoniche, rilevazione e mappatura delle coperture per analisi forense, casi reali (Ing. Paolo Reale);

Ore 12-13 e 14-17: Cloud & Enterprise, casi pratici di Acquisizione e Analisi (Dott. Andrea Ghirardini);

Ore 17-18: test e valutazione finale (Ing. Michele Vitiello).

Per informazioni e iscrizioni, visitare questo link.

Studio d'Informatica Forense

Perizie Informatiche Forensi, CTP e CTU in Processi Civili e Penali