Il 30 marzo 2012 ho partecipato come relatore – oltre ad averne collaborato all’organizzazione – della DEFT CONFERENCE 2012, soprannominata “DEFTCON 2012” dagli addetti ai lavori.
La DEFT Conference è un evento annuale nel quale si parla di informatica forense, indagini informatiche digitali e reati informatici, basato sugli strumenti e le funzionalità presenti nella distribuzione forense DEFT Linux (Digital Evidence Forensics Toolkit).
La DEFT Conference del 2012 è stato un evento riuscitissimo che ha visto circa 200 partecipanti da tutta Italia, tra consulenti e membri delle Forze dell’Ordine, tenutosi presso il Palazzo di Giustizia di Torino. Dodici interventi, aperti dall’introduzione del Dr. Gian Carlo CASELLI e del Dr. Alberto Ernesto PERDUCA, hanno sviscerato i segreti della suite di analisi forense DEFT, la cui versione 7.1 è stata pubblicata per l’occasione proprio durante la conferenza.
Di seguito il programma della conferenza DEFTCON 2012 basata sulla piattaforma DEFT Linux Live CD/USB/DVD.
DEFT CONFERENCE 2012
Il progetto DEFT e il suo impiego in ambito operativo negli accertamenti tecnici:
un’analisi approfondita del suo utilizzo nella giurisprudenza italiana.
30 marzo 2012, ore 10.00-18.00
Maxi Aula 1 del Palazzo di Giustizia
Corso Vittorio Emanuele II, 130
10138 TORINO (TO)
Moderatori: Andrea PELLEGRINI, Stefano FRATEPIETRO
10.00 – Saluto (Dr. Gian Carlo CASELLI, Procuratore Capo della Procura di Torino)
Saluto di apertura da parte del Procuratore Capo della Procura di Torino, Gian Carlo CASELLI.
10.15 – Introduzione (Dr. Alberto Ernesto PERDUCA, Procuratore Aggiunto della Procura di Torino)
Introduzione istituzionale alla conferenza da parte del Coordinatore del Gruppo Specializzato in materia di criminalità informatica.
10.30 – Presentazione dell’evento e delle novità del sistema DEFT/DART (Stefano FRATEPIETRO)
Presentazione del progetto DEFT da parte del suo fondatore, stato dell’arte e progetti futuri.
11.00 – Android Forensics con DEFT (Alessandro ROSSETTI)
Breve introduzione al sistema operativo Android, illustrazione degli strumenti e delle metodologie mediante le quali è possibile eseguire un’analisi completa senza ricorrere ad alcun tool commerciale.
11.30 – Sotto il programma… SQLite! (Meo BOGLIOLO)
Breve introduzione teorica dell’architettura del database SQLite e sul linguaggio SQL seguita da diversi aspetti pratici di accesso ai dati. Descrizione dell’utilizzo e della configurazione dei tool per il carving dei database e di alcuni strumenti, grafici e testuali, presenti in DEFT per l’accesso ai DB. Descrizione di alcuni comandi SQL utili per estrarre le informazioni più rilevanti dai moltissimi programmi che utilizzano SQLite quali Firefox, Thunderbird, Chrome, Safari, Skype, Maps, etc…
12.00 – Utilizzo di DEFT per attività di Cyber Intelligence (Emanuele GENTILI)
Presentazione delle novità di DEFT Linux nell’ambito delle investigazioni digitali. Panoramica degli strumenti presenti. Esempi pratici su come recuperare dati da fonti aperte e procedere alla loro correlazione per ricavare informazioni utili all’attività d’indagine (OSINT).
12.30 – DART – Next generation IR tool (Stefano FRATEPIETRO e Massimiliano DAL CERO)
Presentazione delle principali caratteristiche dell’interfaccia grafica sicura DART (Digital Advanced Response Toolkit) e relativa selezione di strumenti per Incident Response. Panoramica sulle sue caratteristiche di “safe environment” e sulle forti potenzialità di personalizzazione tramite configurazione XML.
13.00 – Pausa pranzo
14.30 – Timeline e Supertimeline (Paolo DAL CHECCO)
Introduzione alle timeline e alle supertimeline, analisi critica ed esempi pratici sul come generarle ed elaborarle utilizzando gli strumenti presenti in DEFT 7. Approfondimenti su pregi, difetti e differenze tra le timeline basate su filesystem e quelle basate su metadati. Illustrazione pratica delle due principali modalità di generazione ed elaborazione attualmente disponibili, entrambe Open Source e gratuite. Utilizzo delle timeline e supertimeline nelle attività di perizia informatica.
15.00 – L’acquisizione di evidenze digitali nel quadro normativo Italiano (Giuseppe DEZZANI)
Potenzialità della distribuzione DEFT come strumento di acquisizione delle fonti di prova digitali in base alle norme introdotte dalla legge 48/2008 nel Codice di Procedura Penale italiano.
15.30 – Acquisizione di memorie di massa con DEFT (Marco GIORGI)
Introduzione alle procedure di acquisizione di memorie di massa tramite gli strumenti presenti in DEFT, nel rispetto delle best practices internazionali. Approfondimenti sui formati e le modalità di acquisizione diretta e via rete, sugli strumenti con interfaccia grafica e da linea di comando.
16.00 – L’uso di DEFT da parte della Polizia Giudiziaria (Andrea PELLEGRINI)
Impiego di strumenti Open Source quali DEFT per le attività di perquisizione e sequestro da parte degli Ufficiali e Agenti di Polizia Giudiziaria.
16.30 – Xplico, un Network Forensic Analysis Tool scalabile (Gianluca COSTA)
Xplico è un software in grado di ricostruire Email, chiamate VoIP, pagine Web, Chat, IM e altro, analizzando il traffico di rete. Durante l’intervento saranno illustrate le funzionalità dell’interfaccia utente e le principali caratteristiche che rendono Xplico un framework scalabile e adattabile a vari contesti di analisi. Sarà infine presentato un esempio pratico di utilizzo di Xplico a partire da un traffico di rete in cui sono presenti telefonate VoIP, Chat via Facebook, Email e navigazione di pagine Web.
17.00 – Emule Forensics (Michele FERRAZZANO)
Introduzione teorica all’analisi delle attività del software di file sharing Emule. Presentazione degli strumenti di Emule Forensics disponibili in DEFT 7 e alcuni esempi pratici di accertamenti su installazioni del programma di condivisione file.
17.30 – DEFT vs The Cloud (Davide GABRINI)
Nell’ottica delle indagini digitali, lo spostamento delle attività degli utenti “in cloud” porta a dover riformulare le procedure di accertamento da parte degli investigatori. In tali contesti, infatti, i tradizionali metodi di acquisizione e di “disk forensics” diventano in buona parte inutilizzabili, mentre i limiti giurisdizionali concorrono a rendere più complicato l’intervento. Anche in queste situazioni, la dotazione software di DEFT può venire in soccorso agli operanti.