Archivi autore: Paolo Dal Checco

Informazioni su Paolo Dal Checco

Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.

Bitcoin Forensics al Ghislieri di Pavia

convegno-bitcoin-pavia-ghislieriGiovedì 26 novembre 2015 si terrà a Pavia il Convegno Annuale d’Informatica Giuridica dove, quest’anno, si parlerà di Bitcoin. Il titolo della giornata è “Per un pugno di bitcoin: opportunità e problemi della moneta elettronica“, si disquisirà del Bitcoin da diversi punti di vista e ci saranno relatori noti nell’ambiente pronti a dialogare con i partecipanti su un tema sempre più attuale e dibattuto.

La locandina PDF dell’evento è scaricabile da questo link, è disponibile anche una pagina Facebook dell’evento. L’evento è organizzato dall’Università di Pavia, Dipartimento di Giurisprudenza, Corso di Informatica Giuridica grazie all’inestimabile impegno del Prof. Romano ONEDA e della Segreteria Organizzativa nelle persone della Dott.ssa Avv. Luisa CURRÀ (responsabile), Dott. Riccardo COLANGELO, Dott.ssa Francesca LOMBARDI, Marika FARINA.

Bitcoin Forensics tramite la BlockchainIl mio intervento sarà sulla Bitcoin Forensics: durante la presentazione parlerò di alcuni aspetti cardinali delle crittovalute fino ad approfondire i motivi che rendono il Bitcoin un protocollo che agevola l’anonimato ma anche la tracciabilità grazie all’utilizzo della blockchain. Un’ambivalenza questa che permette a chi vuole rimanere nell’ombra di utilizzare pseudonimi per celare la propria identità e a chi vuole certificare apertamente pagamenti o incassi di farlo con altrettanta facilità. Gli aspetti tecnici e investigativi di acquisizione ed analisi dei dati – alla base della cosiddetta “Bitcoin Forensic” – saranno seguiti da alcuni cenni sui meccanismi di indagine attualmente in uso e sulle tecniche di anonimizzazione utilizzate per tentare di renderli inefficaci, contrastate da tecniche di deanonimizzazione volte a identificare i proprietari di wallet, indirizzi bitcoin e gli autori delle transazioni in criptomoneta.

L’ingresso è libero, nel limite della disponibilità dei posti, raccomandiamo però la prenotazione via email all’indirizzo [email protected]

Il programma della giornata sul Bitcoin, che si terrà al Collegio Ghislieri, ore 9.30, in Aula Magna, Piazza Ghislieri 5, Pavia, è il seguente:

SESSIONE MATTUTINA
Moderatore: prof. Romano ONEDA (Informatica giuridica – Università degli Studi di Pavia)

ore 9.30: Apertura dei lavori con il benvenuto e i saluti delle autorità
prof. Andrea BELVEDERE (Rettore del Collegio Ghislieri)
prof. Ettore DEZZA (Direttore Dipartimento di Giurisprudenza)
prof. Fabio RUGGE (Magnifico Rettore dell’Università)

ore 10.00: Che c’entra la crittografia coi soldi?
(ovvero: Come fanno Alice e Bob a scambiarsi denaro?)
prof. Corrado GIUSTOZZI
Agenzia per l’Italia Digitale; ENISA

ore 10.30: Ontologia delle valute virtuali
prof. Andrea ROSSETTI (Filosofia del diritto – Università Milano Bicocca)

ore 11.00: Dal Deep alla Silicon Valley: l’irresistibile ascesa dei Bitcoin
dott. Carola FREDIANI (Giornalista de ‘La Stampa’ e scrittrice)

ore 11.30 Intervallo

ore 11.45: Gli aspetti economici della moneta elettronica
dott. Giacomo ZUCCO (Bitcoin Evangelist)

ore 12.15: La fiscalità del bitcoin alla luce della sentenza C 264/14 del 22 ottobre 2015
dott. Paolo Luigi BURLONE (Dottore commercialista e Revisore contabile; coinlex.it)

ore 12.45: Discussione e interventi del pubblico

SESSIONE POMERIDIANA
 Moderatore: prof. Giovanni ZICCARDI (Informatica giuridica – Università Milano Statale)

ore 14.30: Bitcoin senza censure
Franco CIMATTI (Presidente Bitcoin Foundation Italia)

ore 15.00: Bitcoin Forensics e Indagini sulle Criptovalute
Dr. Paolo DAL CHECCO (UniTO; Consulente Informatico Forense)

ore 15.45 Sequestro e confisca dei Bitcoin
prof. Antonio BARILI (Lab.Informatica forense, Università di Pavia)
Davide GABRINI (Lab.Informatica forense, Università di Pavia)

ore 16.30 Discussione e interventi del pubblico

ore 17.00: Conclusione del Convegno

 

Corso su Bitcoin e Dark Web

Corso sul BitcoinVenerdì 30 ottobre 2015 ho tenuto una giornata di docenza durante il corso sul Bitcoin organizzato dalla Green Sistemi di Torino. Gli iscritti sono stati più del previsto, tanto che i posti disponibili sono esauriti e per la prossima edizione con buona probabilità verrà utilizzata un’aula più capiente. Oltre al Bitcoin, si è parlato anche di Deep e Dark Web, dato che ultimamente il bitcoin viene – erroneamente – spesso associato alla rete sommersa.

La giornata è stata produttiva: i partecipanti hanno interagito con interesse durante la parte teorica del corso sui bitcoin al mattino e quella pratica del pomeriggio. Un corso sui bitcoin di una giornata non è certamente sufficiente a coprirne tutti gli aspetti, ma è abbastanza per stimolare la curiosità per il mondo delle monete crittografiche basate sulla blockchain e fornire le basi per un successivo approfondimento personale.

Durante il corso sui bitcoin organizzato dalla Green Sistemi si è parato di mining, acquisto e vendita di bitcoin, tracciabilità, legislazione, bitcoin e blockchain forensics, algoritmi crittografici, Tor, wallet e indirizzi, chiavi private e pubbliche, transazioni, double spending e diversi aspetti importanti del protocollo Bitcoin. Ho apprezzato l’interesse dimostrato dai partecipanti e le tante domande che hanno confermato come l’argomento sia stimolante e lo sia in modo trasversale, in ambito sistemistico, giornalistico, di sviluppo, economico e sociale.

Ringrazio Mirko Patti e la Green Sistemi per l’ottima organizzazione della giornata e i partecipanti per aver seguito con attenzione e dimostrato interesse in una materia affascinante come i bitcoin e la blockchain.

Sicurezza Informatica per UniTO/SUISS

Università degli Studi di TorinoMercoledì 28 ottobre 2015 sono iniziati i corsi di Sicurezza Informatica A e B per l’anno accademico 2015/2016, per i quali sono Professore a Contratto presso la Struttura Universitaria Interdipartimentale in Scienze Strategiche (SUISS) per l’Università degli Studi di Torino.

Le informazioni sui corsi, gli avvisi, gli orari aggiornati sono pubblicati nel portale dei Servizi Online della SUISS.

Il programma del corso di Sicurezza Informatica per l’Università degli Studi di Torino presso la SUISS, Struttura Universitaria Interdipartimentale in Scienze Strategiche, è il seguente:

  1. Introduzione alla sicurezza informatica
  2. Protocolli di Rete
  3. Vulnerabilità applicative, locali, di rete e componente umana
  4. Computer Forensics
  5. Cenni di Mobile, Malware e Network forensics
  6. Contromisure, firewall, antivirus, antispyware, IDS, IPS, SIEM
  7. Incident Response
  8. Progettazione sicura
  9. Crittografia
  10. Firma elettronica e autenticazione
  11. Business Continuity e Disaster Recovery
  12. Cyber War e Cyber Crime
  13. Legislazione
  14. Casi pratici e di studio

Le dispense saranno pubblicate durante il corso nelle pagine dedicate ai corsi riservate agli studenti iscritti.

Phishing al phisher di Google

Phishing di Account GoogleIl phishing è una delle maniere più facili con le quali i malintenzionati riescono a far cadere in trappola ignare vittime, ingannate da una mail fraudolenta o da un sito web farlocco. Che sia un finto sito di un Corriere, di un Operatore Telefonico o di una Compagnia di Energia Elettrica da cui far scaricare un ransomware o un finto sito di Google creato per rubare nome utente e password.

Questo è proprio il caso della schermata di login fraudolenta, raggiungibile fino a poco tempo fa sul dominio dannytice.com, diffusa via email tramite messaggi di phishing che invitavano a verificare le proprie credenziali di Google o comunque ad accedere alla webmail.

La schermata di phishing che si finge Google era salvata in una cartella riservata di un’installazione bucata di WordPress, come si evince dal percorso “/wp-admin/css/brige/jett/sick.html” che contiene gli script che permettono la raccolta fraudolenta delle credenziali degli utenti. E’ ormai pratica comune quella di bucare siti WordPress vulnerabili per installarvi sopra pagine di phishing, download di ransomware o trojan bancari, script per attaccare altri siti web o server o persino portali per vendita di accessi a siti pedopornografici. In questo caso, l’utente si ritrova in una pagina di login che ben conosce, quella dove Google richiede i dati di accesso per loggarsi sulla casella di posta Gmail.

L’URL ormai non è più accessibile, ma potete vedere come compariva quando era attiva accedendo ad una copia remota ospitata sul sito archive.is. Se non si osserva con attenzione la barra degli indirizzi, la pagina di phishing sembra in tutto e per tutto quella che Google mostra per richiedere i dati di accesso. La pagina è stata rimossa in un paio di giorni e Google ha rilevato, tramite il suo Safe Browsing, la presenza di contenuti sospetti.

Google Safe Browsing

Una volta inseriti i dati di accesso, la vittima viene rediretta verso la vera pagina di Google, che richiederà nuovamente i dati di accesso perché quelli inseriti nella pagina di phishing non vengono passati correttamente. L’utente pensa che ci sia stato un problema di rete, reinserisce login e password e si ritrova nella sua webmail. Il problema è che i dati di accesso ora li ha anche l’attaccante, che li userà per reati come furto d’identità, cercherà nei messaggi di posta informazioni come nomi utente, password, coordinate bancarie, fotocopie dei documenti d’identità e li userà nel modo che riterrà più proficuo. Alternativamente, venderà l’account nel dark web insieme ad altre centinaia di account bucati. Il prezzo degli account bucati può andare da qualche dollaro a qualche decina di dollaro, in base all’affidabilità delle credenziali.

Invece di cancellare la mail e ignorare il problema, ho deciso di provare ad incastrare il phisher, registrando un account Google ad hoc nel quale ho attivato il meccanismo di protezione a due fattori, chiamato anche two factor authentication o verifica in due passaggi.

Google Verifica in Due Passaggi

La verifica in due passaggi (nota anche come “Autenticazione a Due Fattori”, “2FA” o “Two Factor Authentication“) fa sì che l’inserimento di login e password, seppur corretti, non permetta immediatamente l’accesso all’account, ma causi l’immediato invio di un SMS al numero di cellulare prescelto in fase di attivazione. Il messaggio di testo contiene un codice numerico da inserire nella pagina di login, per confermare la propria identità. Il tutto avviene gratuitamente ed è simile al modo di procedere di alcuni servizi bancari, che chiedono al proprietario del conto corrente conferma per poter eseguire il login o inserire disposizioni bancarie.

Poiché, avendo attivato il servizio di autenticazione a due fattori, la conoscenza del login e della password corretti non permette di entrare nella webmail, ho potuto tranquillamente “cadere nel tranello” digitando le vere credenziali all’interno della pagina di phishing del login di Google.

Login sulla pagina di Phishing di Google

A questo punto, il delinquente ha acquisito le mie credenziali e il browser viene rediretto verso la vera webmail Gmail, dove mi vengono nuovamente richieste le credenziali. La prima parte del phishing al phisher finisce qui e non resta che attendere.

Una settimana dopo, arriva un SMS sul numero di cellulare che ho indicato durante la configurazione dell’autenticazione a due fattori per la casella di posta Gmail creata appositamente per questo esperimento.

Google Phishing 2FA

Tre minuti dopo, arriva un secondo SMS, sempre al numero impostato come secondo fattore di autenticazione per l’account Google creato apposta per il test.

Two Factor Authentication e Google Phishing

 

In sostanza, ho sfruttato la pagina creata dal phisher come una sorta di honeypot al contrario. Con gli honeypot si creano servizi volutamente vulnerabili e monitorati in modo da far cadere in trappola gli attaccanti, talvolta distraendoli dai reali obbiettivi strategici. Con questo sistema, ho passato al phisher delle credenziali funzionanti, create apposta per essere monitorate.

Gli SMS mi hanno confermato che il phisher ha abboccato e ha usato le credenziali rubate per verificare la bontà dell’account. Potrebbe anche non trattarsi del phisher, dato che egli potrebbe aver ha venduto le credenziali a un acquirente che ha tentato di utilizzarle. Il doppio tentativo può far pensare a un’attività manuale di un utente che ha provato a reinserire le credenziali, credendo di averle magari digitate male la prima volta.

A questo punto, ho eseguito un login sull’account Google utilizzato come honeypot: ovviamente ho potuto farlo avendo accesso al numero di cellulare registrato come dispositivo di sicurezza per l’autenticazione a due fattori. Ho quindi proceduto a visualizzare la pagina degli alert di sicurezza che Google fornisce a tutti gli utenti per tenerli aggiornati sui dispositivi usati di recente, accedibile da chiunque all’indirizzo http://security.google.com/settings/security/activity?pli=1.

Il phisher di Google in trappola

Google ha identificato il tentativo di accesso fraudolento comunicandomi che “qualcuno ha la mia password, così è stato impedito il login”, loggando l’indirizzo IP utilizzato dal phisher per tentare l’accesso alla casella di posta creata come honeypot. Google ha infatti tracciato il primo dei due tentativi di accesso, anche se è stato eseguito con le credenziali corrette (rubate tramite phishing) ma senza che l’attaccante sia riuscito a confermare il codice di autenticazione a due fattori inviato via SMS al numero di cellulare che ho predisposto per la trappola.

Come si nota nell’immagine, l’indirizzo IP da cui è stato tentato l’utilizzo delle credenziali rubate è italiano e appartiene al range di IP assegnato da WIND Telecomunicazioni S.p.A. Le porte aperte sull’IP, poco dopo il tentativo di accesso al mio account honeypot, erano le seguenti:

[+] Nmap scan report for ppp-xxx-xxx.15-151.wind.it (151.15.xxx.xxx)
Host is up (0.14s latency).
Not shown: 94 filtered ports

PORT STATE SERVICE VERSION
21/tcp closed ftp
22/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0)
80/tcp closed http
81/tcp closed hosts2-ns
443/tcp open https?
3128/tcp open http-proxy Squid http proxy 2.7.STABLE9

Il Sistema Operativo rilevato indica – e lo si intuisce anche dal banner sulla porta 22 – un Linux :

Running (JUST GUESSING): Linux 3.X|2.6.X|2.4.X (93%), Netgear embedded (93%), Western Digital embedded (93%), AXIS Linux 2.6.X (91%), Crestron 2-Series (89%), Vodavi embedded (87%), Check Point embedded (86%), HP embedded (85%)
OS CPE: cpe:/o:linux:kernel:3 cpe:/o:axis:linux:2.6 cpe:/o:linux:kernel:2.6 cpe:/o:crestron:2_series cpe:/o:linux:kernel:2.4.26

Aggressive OS guesses: Linux 3.0 – 3.1 (93%), Netgear DG834G WAP or Western Digital WD TV media player (93%), AXIS 210A or 211 Network Camera (Linux 2.6) (91%), Linux 2.6.38 – 3.2 (90%), Crestron XPanel control system (89%), Linux 2.6.32 – 2.6.39 (88%), Linux 2.6.38 – 3.0 (88%), Linux 2.6.39 (87%), Vodavi XTS-IP PBX (87%), Check Point VPN-1 UTM appliance (86%)

Da questo test è possibile trarre alcune conclusioni:

  • L’autenticazione a due fattori è un ottimo metodo di protezione dal phishing, anche se può essere bypassato con alcuni accorgimenti;
  • Se avessi utilizzato la Google Authenticator App invece degli SMS sul numero di cellulare non avrei potuto rilevare la compromissione in tempo reale, pur essendo in ogni caso protetto dall’accesso non autorizzato;
  • Per tentare di accedere al mio account è stato utilizzato un indirizzo IP italiano: può trattarsi dell’IP di un PC compromesso, di un proxy (la porta 3128 sembra portare in questa direzione), del PC di chi ha lanciato la campagna di phishing o di chi ha acquistato le credenziali rubate.;
  • Il phishing è ancora uno dei metodi più semplici per rubare credenziali da utilizzare poi per furto d’identità, business email compromise (BEC), truffe e ogni tipo di reati che quotidianamente vedono vittime in tutto il mondo;
  • Se vi imbattete in pagine di Phishing, potete segnalarle a Google all’indirizzo https://www.google.com/safebrowsing/report_phish/?hl=it e verranno rimosse in breve tempo dai motori di ricerca e segnalate dal browser Chrome tramite Google Safe Browsing.

Nuova CAINE 13.0 “Warp” a 64bit per live forensics

Oggi 18 maggio 2015 la distro forense Caine Linux si aggiorna e arriva alla versione 13.0 con Kernel 5.15.0-67, basata su Ubuntu 22.04 64BIT e compatibile UEFI con possibilità di boot su Uefi/Uefi/Legacy Bios/Bios.

Nuova Caine 13.0 Warp per la Live Forensics

La live distro Caine Linux 13:0 Warp può essere caricata in RAM ed è più veloce delle precedenti versioni, continua a permettere il blocco dei block devices (come ad esempio /dev/sda) impostandoli in modalità solo lettura.

La distribuzione forense nuova Caine 13.0 Linux Warp si aggiorna a maggio 2015 ed è installabile su disco in modo che diventi permanente, per farlo è sufficiente sbloccare il dispositivo in scrittura, utilizzare Ubiquity, scegliere “System Install”, selezionare come utente CAINE, password CAINE e host CAINE. Dopo il primo avvio della distribuzione forense Caine Warp, eseguire Grub Customizer e attivare RW invece di RO sul boot menù, in modo che Caine Live USB/DVD “Warp” in versione 13:0 si avvii automaticamente.

La data di uscita della nuova distro Caine Linux Warp 13.0 che si aggiorna, indicata nella prima riga di questo post e nelle proprietà del post stesso in realtà non è corretta, ma c’è un motivo per ogni cosa, anche per questa: in informatica forense spesso la teoria deve essere accompagnata dalla pratica fatta di prove, esperimenti positivi e negativi, simulazioni, analisi.