Archivi categoria: Senza categoria

La Prova Informatica al VI Congresso Giuridico Distrettuale

Il 25, 26 e 27 maggio 2017 si terrà a Riva del Garda il VI Congresso Giuridico Distrettuale, all’interno del quale parteciperò dalle 15:00 alle 19:00 del venerdì 26 maggio a una sessione sulla prova digitale insieme a relatori di altissimo livello come l’Avvocato Francesco Paolo Micozzi, l’Avvocato Valentina Carollo, l’Avvocato Maurizio Reale, la Dott.ssa Ines Simona Pisano, il Dott. Giuseppe Corasaniti, la Dott.ssa Antonella Ciriello, l’Ing. Giulio Borsari con la moderazione dell’Avv. Antonino Galletti.

All’interno di un congresso con tantissimi relatori di alto livello e argomenti di attualità in ambito giuridico e forense, parteciperò alla sessione sulla prova informatica, dove si metterà la professione di avvocato, magistrato e consulente informatico forense a confronto, mostrando come i punti di vista tecnico e giuridico s’integrano orientandosi tra leggi, convenzioni, best practices, standard ed RFC.

La conferenza sulla prova digitale e informatica si terrà presso il Palazzo dei Congressi, Parco Lido, Riva del Garda e la partecipazione al congresso permette di acquisire
fino a 22 crediti di cui 10 in materia deontologica. Per informazioni o iscrizioni è consultabile la pagina web dell’evento presso il sito dell’Ordine degli Avvocati di Rovereto [WBM], dove è contenuta anche la brochure che riporto per comodità anche a questo link in locale.

La sessione 7 sulla prova informatica e digitale del venerdì 26 maggio 2017, dalle ore 15:00 alle ore 19:00, seguirà il seguente programma:

La Prova Informatica: Avvocatura, Magistratura e Consulenti a Confronto

Con la moderazione dell’Avv. Antonino Galletti, Tesoriere Ordine Avvocati Roma.

  • dott.ssa Antonella Ciriello, Corte di Cassazione, componente STOCSM
  • dott. Giuseppe Corasaniti, Sostituto Procuratore, Generale – Procura, Corte di Cassazione
  • dott.ssa Ines Simona Pisano, TAR Lazio
  • avv. Valentina Carollo, COA Rovereto, Comm. Inf. TRV
  • avv. Francesco Paolo Micozzi, Foro di Cagliari, GdL FIIF
  • avv. Maurizio Reale, COA Teramo, GdL FIIF
  • ing. Giulio Borsari, DGSIA
  • dott. Paolo dal Checco, Consulente Informatico Forense

Cellebrite annuncia il servizio di sblocco PIN per iPhone 5s, 6 e 6 plus

Messaggio Twitter di Shahar Tal con annuncio sblocco PIN di iPhone 6 plusCon un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, ha annunciato pubblicamente [WBM] che Cellebrite è in grado di trovare il PIN dagli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli, cosa che fino a qualche giorno fa sembrava possibile soltanto con gli iPhone 4S, 5 e 5C.

Tutti ricorderanno il caso dello sblocco dell’iPhone 5C di San Bernardino richiesto dall’FBI del 2016 e la notizia della settimana scorsa dell’iPhone 5S di Tiziana Cantone sbloccato su richiesta dalla Procura di Napoli, il primo risolto grazie a una società esterna di cui non è mai stato confermato il nome ma che in tanti ritengono essere l’israeliana Cellebrite, mentre per il secondo – avvenuto per coincidenza pochi giorni prima il comunicato di Cellebrite – non ci sono ancora conferme ufficiali né sul metodo utilizzato né sugli autori per quanto sui giornali si parla di una collaborazione tra i Carabinieri di Napoli e l’Ing. Carmine Testa [WBM] senza cenni a interventi esterni.

Le informazioni presenti sul sito web della Cellebrite, incluse le pagine relative al servizio CAIS tramite il quale l’Autorità Giudiziaria può richiedere il servizio di sblocco PIN presso i laboratori Cellebrite a Israele o Monaco, non sono ancora state aggiornate ma ormai la nuova funzionalità del servizio sembra confermata anche dalle domande che diversi utenti hanno posto a Shahar sul suo profilo twitter. Messaggi di complimenti, come il “congrats on the new capability” cui Shahar Tal risponde con un  “Who said anything about ‘new’?” lasciando persino trapelare come la funzionalità di sblocco dei nuovi iPhone non sia una novità per la società israeliana.

Come sbloccare il PIN di iPhone con Cellebrite

Fino a pochi giorni fa infatti il servizio CAIS (Cellebrite Advanced Investigative Services) che permette di trovare il PIN dei dispositivi iOS (iPhone, iPad) a 32 bit e 64bit e Android per sbloccarli ed acquisire copia forense veniva offerto soltanto per i seguenti dispositivi:

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G, e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2)
  • Samsung Galaxy S6, Galaxy Note 5 e Galaxy S7 con tutte le versioni Android versions fino a e inclusa la Android Marshmallow 6.0.1

Per chi non la conosce, Cellebrite è una delle società leader in campo di mobile forensics, che fornisce il prodotto UFED utilizzato quotidianamente dai consulenti informatici forensi che eseguono perizie su cellulari e smartphone. La funzionalità di sblocco PIN da alcuni cellulari e smartphone era in parte già realtà grazie agli strumenti in dotazione a diversi studi di Informatica Forense, quali il Cellebrite UFED, il Micro Systemation XRY, l’Oxygen Forensics o l’IPBOX ma soltanto per alcune versioni di Android e per le vecchie versioni di iOS (iOS 7 e in parte iOS 8). Per gli iPhone con versione del Sistema Operativo iOS 7 è persino possibile lo sblocco pin quando il dispositivo è disabilitato e richiede di connettersi a iTunes per ripristinare il cellulare.

Sblocco del PIN di un iPhone disabilitato

Le versioni successive di iOS (quindi tutti gli iPhone inclusi quelli con processore a 64bit) non sono supportate da nessuno di questi tool e quindi il servizio di sblocco PIN e password da cellulare fornito da Cellebrite diventa strategico in caso di perizia tecnica informatica su dispositivi mobili in ambito giudiziario, considerando però che la momento non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 e non è compatibile con smartphone con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus.

Cellebrite deve essere infatti riuscita a superare le protezioni impose dal meccanismo di secure enclave, che come descrive Apple a pagina 12 della sua Guida Ufficiale sulla Sicurezza dei Dispositivi iOS [WBM] comanda i ritardi dell’inserimento del PIN lock sui dispositivi con processore A7 o successivi. Secure Enclave impone infatti i seguenti ritardi tra i tentativi di inserimento del codice: da 1 a 4 tentativi nessun ritardo, al quinto tentativo 1 minuto di ritardo, al sesto 5 minuti, al settimo e ottavo 15 minuti, al nono 1 ora. Un ulteriore tentativo errato d’inserimento PIN porta l’iPhone nello stato di disabled, disabilitato, oppure ne avvia il ripristino se “Impostazioni > Touch ID e codice > Inizializza dati” è attivato.

Shahar, con ulteriori tweet, ringrazia il suo team per gli obiettivi raggiunti e per il supporto dato alla giustizia in tutto il mondo, in particolare nei casi relativi a molestie su minori che vengono catturati e imprigionati grazie al lavoro dei ricercatori che permettono alle Forze dell’Ordine di acquisire in maniera forense i dati presenti sugli smartphone per utilizzarli come elementi probatori.

In base alle informazioni presenti in rete, il servizio CAIS di sblocco PIN e password di iPhone e Android possiede le seguenti caratteristiche e limitazioni:

  • il servizio può essere richiesto solamente dall’Autorità Giudiziaria, in ambito d’indagini per processi penali o civili;
  • l’operazione di PIN unlock costa circa 1.500 dollari;
  • l’unlock del PIN non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 né quelli con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus
  • il servizio di sblocco viene offerto soltanto presso le sedi Cellebrite, è quindi necessario portare di persona lo smartphone da loro o spedirlo;
  • non è possibile assistere all’operazione di sblocco del PIN o della password del dispositivo;
  • al termine dell’attività tecnica viene fornito al committente il codice PIN con il quale il cellulare è bloccato.

Perché Google sta chiedendo di reinserire la password sugli smartphone?

Google richiede il cambio della password degli accountIn queste ore Google sta chiedendo ai suoi utenti di autenticarsi nuovamente reinserendo la password dell’account Google o Gmail, sui cellulari come Android e iPhone. La ragione della richiesta da parte di Google di inserire la password potrebbe essere il leak subito da CloudFlare, che ha potenzialmente coinvolto due milioni di siti web sulla rete Cloudflare. Come riportato dal report di CloudFlare in seguito alla segnalazione dei ricercatori del team Google’s Project Zero che hanno definito il bug “Cloudbleed” i reverse proxy di CloudFlare hanno fino a ieri pubblicato involontariamente porzioni di memoria contenenti potenzialmente informazioni riservate oltre a dati di autenticazione delle sessioni degli utenti.

Il “baco” ha colpito oltre due milioni di siti, in parte elencati a questo link, che fanno uso di Cloudflare per proteggersi dagli attacchi e che, in questo caso, ne sono diventati vulnerabili. Ovviamente la maggioranza dei siti non contengono informazioni sugli utenti o token di autenticazione, ma tra quelli coinvolti ce ne sono alcuni che raccolgono dati personali o supportano l’autenticazione tramite token di autenticazione (si pensi ad Authy, ad esempio) che possono quindi permettere a un attaccante di acquisire sessioni attive (non la password) e utilizzarle per intromettersi negli account delle vittime

Non è necessario – anche se è sempre buona pratica – cambiare la propria password, come specifica anche Cloudflare, l’importante è reinserirla resettando i token di autenticazione attivi con siti e servizi coinvolti nel leak.

Ovviamente, questa enorme quantità di richieste di inserimento password arrivate oggi potrebbero essere sfruttate da chi fa phishing per impersonare Google e intercettare così username e password di utenti convinti di mettersi al riparo dal bug “CloudBleed” di Cloudflare.

Su alcuni forum sono arrivate smentite e il supporto di Google non conferma l’ipotesi ma rassicura sul fatto che non ci sono rischi per gli utenti: rimaniamo quindi nel dubbio concludendo che, tecnicamente, questo logout forzato e richiesta di fare login inserendo nuovamente la password potrebbe esser un modo per reinizializzare eventuali sessioni compromesse e mettere al sicuro gli account e i dati dei propri utenti. O, quantomeno, la coincidenza sarebbe davvero notevole.

Bitcoin Forensics alla Bitcoin Conference di Hannover

Bitcoin Conference ad HannoverGiovedì 19 gennaio terrò un talk, insieme all’amico Mattia Epifani di Reality Net, durante la Bitcoin Conference che si terrà presso l’Università di Hannover, L3S Research Center in Appelstraße 9a (High Rise Building). L’argomento dell’intervento sarà quello della Bitcoin Intelligence e Bitcoin Forensics e coprirà diversi aspetti delle indagini e perizie informatiche sulle criptovalute.

Si partirà dalle indagini sulla blockchain per giungere alla blockchain intelligence tramite clustering dei wallet. Il raggruppamento degli indirizzi bitcoin in wallet è infatti uno dei principali strumenti per la deanonimizzazione degli indirizzi bitcoin e il tracciamento delle transazioni. Verranno presentati i vari metodi utilizzati dai software e dai servizi di clustering e de-anonymization come i commerciali Neutrino, Elliptic, Chainalyis, Blockseer, Scorechain, Skry, Blockchaingroup, Sabr ma anche i gratuiti Bit Cluster e Wallet Explorer per raggruppare indirizzi appartenenti allo stesso wallet in un cluster analizzabile e tracciabile.

Allo stesso modo, esiste la possibilità di tracciare indirizzi IP dei client e dei wallet che hanno immesso transazioni firmate sulla rete Bitcoin o di client SPV che – tramite utilizzo del filtro di bloom – interrogano i server della rete per conoscere lo stato degli indirizzi bitcoin posseduti nel wallet. In entrambi i casi, l’attività di network monitoring e forensics può portare a ottimi risultati nel tracciamento e deanonimizzazione di wallet, indirizzi, transazioni.

Bitcoin Forensics ad Hannover

La presentazione verterà quindi sulle attività di analisi forense e perizia informatica eseguibili sui wallet bitcoin come il Wallet.dat del client Bitcoin QT e i file accessori come Debug.log, Tramite strumentazione apposita è possibile recuperare gli artefatti lasciati dai wallet e identificare indirizzi, transazioni, wallet anche dalle aree non allocate del disco.

Su wallet per dispositivi cellulari e smartphone è poi possibile eseguire attività di mobile forensics ed acquisire i database come breadwallet.sqlite su BreadWallet per iOS o wallettracking.db su Mycelium per Android o  per esaminarne il contenuto e ricavare informazioni preziose come indirizzi o transazioni eseguite tramite il wallet.

Qui di seguito riportiamo il programma della Bitcoin Conference ad Hannover:

  • 08.30 Arrival and Registration
  • 09.00 Welcome & Introduction – Susanne Beck (Leibniz Universität Hannover, DE) Nikolaus Forgó (Leibniz Universität Hannover, DE)
  • 09.15 Innovation & Trust – Patrick Curry (British Business Federation Authority, UK)
  • 10.00 Virtual Currencies, Privacy and the European Anti Money Laundering Framework – Carolin Kaiser (Rijksuniversiteit Groningen, NL)
  • 10.45 Coffee break
  • 11.15 Crypto Currencies – Prevention of Illegal Use and Deregulation – Thomas Gloe (Dence GmbH, DE)
  • 12.00 Collaborative Discussion – Panel: Patrick Curry (British Business Federation Authority, UK) Carolin Kaiser (Rijksuniversiteit Groningen, NL), Thomas Gloe (Dence GmbH, DE)
  • 12.30 Lunch break
  • 13.30 Bitcoin Intelligence and Forensics – Mattia Epifani (Reality Net – System Solutions, IT) Paolo Dal Checco (Digital Forensics Bureau, IT)
  • 14.15 Bitcoin and Law Enforcement Investigation Matthew Simon (INTERPOL)
  • 15.00 Coffee break
  • 15.30 Deregulation of State Authority and Enforcement Mechanisms Christoph Burchard (Goethe-Universität Frankfurt am Main, DE)
  • 16.15 Bitcoin Opportunities and Challenges for Criminal Investigations Markus Hartmann (Public Prosecutor’s Of ce Cologne, DE)
  • 17.00 Collaborative Discussion – Moderator: Florian Jeßberger (University of Hamburg, DE), Panel: Christoph Burchard (Goethe-Universität Frankfurt am Main, DE) Mattia Epifani (Reality Net – System Solutions, IT), Paolo Dal Checco (Digital Forensics Bureau, IT), Markus Hartmann (Public Prosecutor’s Of ce Cologne, DE) Matthew Simon (INTERPOL)
  • 17.45 Wrap-Up – Open Discussion 2.0

Seminario “Dai bitcoin al narcotraffico”

Bitcoin, Narcotraffico e Investigazioni DigitaliSabato 2 luglio 2016, dalle ore 8:30 alle 14:00, si terrà presso la biblioteca del Palazzo della Provincia di Reggio Calabria in Via S. Francesco di Sales, 3, il seminario “Dai bitcoin al narcotraffico – Investigazioni e nuovi scenari digitali”.

Si parlerà, insieme all’amico Leonida Reitano, di investigazioni nel dark web, tecniche di bitcoin forensics e indagini sulle criptovalute con tracciamento delle transazioni e degli indirizzi spesso coinvolti in casi di truffa, furto, mercati illeciti o riciclaggio di denaro sporco, Social Media Intelligence, OSINT e investigazioni digitali.

L’evento è organizzato con la collaborazione della CONSAP – Confederazione Sindacale Autonoma di Polizia – di Reggio Calabria e la IPA – International Police Association – Sezione Italiana, XVIII Delegazione Calabria.

Il programma del seminario”Dai bitcoin al narcotraffico – Investigazioni e nuovi scenari digitali” è il seguente, la brochure è scaricabile da questo link:

  • 8:30: Apertura del convegno
  • 9:00: Investigazioni nel Dark Web (Paolo Dal Checco)
  • 10:00: Bitcoin, scenari operativi e tecniche di tracciamento (Paolo Dal Checco)
  • 11:10: pausa e question-time
  • 11:30: Social Media Intelligence e nuovi scenari investigativi (Leonida Reitano)
  • 12.30: Open Source Intelligence e investigazioni digitali (Leonida Reitano)
  • 13:30: pausa e question-time
  • 14:00: chiusura dei lavori