Archivi tag: caine

I reati informatici e tramite internet: le best practice in materia d’Informatica Forense

Venerdì 30 ottobre 2020 si terrà la lezione sui reati informatici e tramite internet parte del V Corso 2019-2020 Biennale di Alta Formazione Specialistica dell’Avvocato Penalista dell’unione Delle Camere Penali Italiane (UCPI) durante la quale sarò relatore insieme agli Avv.ti Luca Lupària e Carlo Blengino, con moderazione dell’Avv. Paola Rubini.

UCPI - I reati informatici e tramite internet, Le best practices in materia d’Informatica Forense

Gli interventi dei legali Avv.to Blengino e Lupària verteranno sugli aspetti sostanziali dei reati informatici con focus su alcuni reati specifici e questioni di merito, con approfondimenti sulle profili processuali e di scenario dei reati informatici.

Il mio intervento all’interno del Seminario UCPI verterà sulle best practice in materia d’informatica Forense con particolare riguardo all’acquisizione forense delle prove digitali. Durante la lezione mostrerò quali sono i princìpi, le metodologie e gli strumenti utilizzati nel corso delle perizie informatiche svolte dal consulente informatico forense per cristallizzare le prove informatiche a fini legali, così da permettere ad Avvocati e Studi Legali di produrre querele, memorie, ricorsi, repliche in ambito penale e civile basate su evidenze informatiche solide e incontestabili.

Verranno analizzate le varie casistiche in cui si rivela necessaria e strategica un’attività di copia conforme certificata di dati a fini probatori, per utilizzo in Tribunale, con redazione di un verbale di copia forense e una perizia informatica a corredo. Si partirà dalle copie forensi di hard disk, pendrive, dischi esterni o memorie di massa, mostrando come tramite l’utilizzo di software e live CD (es. Tsurugi, DEFT, Caine, Paladin, Raptor, etc…) e di strumenti (Falcon, Tableau, Ditto, etc…) è possibile produrre copie o immagini forensi del contenuto di un supporto di memorizzazione.

Si passerà poi all’esame delle modalità e strumenti utilizzati per cristallizzare prove su smartphone, cellulari, dispositivi mobili fino ad arrivare alla IoT Forensics e all’acquisizione forense di dispositivi IoT. Vedremo come produrre in Giudizio conversazioni e chat Whatsapp, Facebook Messenger, Telegram ma anche SMS, email, foto o video contenuti su smartphone e tablet. Sempre legati al mondo dei telefoni e smartphone, verranno presentate le questioni relative all’acquisizione di tabulati, delle telefonate, degli SMS, della navigazione su Internet ma anche dell’utilizzo delle App, mostrando come spesso vengono richiesti tabulati di Whatsapp, Facebook Messenger, Instagram, Twitter, Instagram utilizzati per comunicare via chat ma che lasciano evidenze in ambiti diversi, talvolta sullo smartphone, talvolta direttamente sul profilo.

Non sempre i dati si trovano su PC o smartphone, sempre più spesso si localizzano infatti su cloud, VPS o su server di posta elettronica: verranno quindi presentate alcune modalità e tool con i quali il perito informatico può fotografare in maniera forense le informazioni presenti sul cloud come Dropbox, Google Drive, iCloud, etc… o salvare come prova messaggi di email e posta elettronica o PEC a fini probatori per uso in Tribunale. Sempre più spesso infatti vengono richieste perizie e analisi forensi su email, posta elettronica, PEC, sia in termini di contenuto e verifica di eventuali manipolazioni, sia in termini di log, tabulati e utilizzo delle caselle di posta.

Infine, si proseguirà con un approfondimento sulle modalità e gli strumenti con i quali è possibile svolgere acquisizioni forensi di prove digitali di pagine e siti web per utilizzo in Tribunale. La produzione in Tribunale di prove online è un argomento sempre più frequente, poiché buona parte delle nostre vite si è spostata sul web, su Facebook, Instagram, Linkedin, Twitter, sui social network o siti web. Nasce quindi l’esigenza di salvare una copia “autenticata” di un sito web o di sue pagine, così come di profili Facebook, post o commenti.

Corso Digital Forensics e Cyber Security - Ordine degli Ingegneri di Venezia

Corso su Digital Forensics & Cyber Security per Ordine Ingegneri di Venezia

Dal 14 maggio al 12 giugno 2019 si terrà a Venezia il Corso su Digital Forensics & Cyber Security organizzato dall’Ordine degli Ingegneri della Provincia di Venezia e la Fondazione Ingegneri Veneziani, insieme all’Ordine degli Architetti Pianificatori, Paesaggisti e Conservatori della Provincia di Venezia, la Fondazione Architetti Pianificatori Paesaggisti e Conservatori della Provincia di Venezia e il Collegio dei Periti Industriali e dei Periti Industriali Laureati della Provincia di Venezia.

Corso Digital Forensics e Cyber Security - Ordine degli Ingegneri di Venezia

Lo scopo del corso è quello di fornire una introduzione con successivo approfondimento nel mondo dell’informatica forense e investigazione digitale. Durante il corso ai partecipanti verranno aggiornati su vari argomenti di informatica forense e potranno seguire dei laboratori pratici, apprendendo le nozioni necessarie per eseguire perizie informatiche forensi, come la ricerca e il recupero di file nascosti o cancellati, l’esecuzione di copia forense di supporti digitali secondo le norme di legge e best practice, anche attraverso l’utilizzo di vari strumenti hardware e software, scopriranno le basi delle ricerche OSINT e dell’acquisizione forense delle pagine web o email, apprenderanno nozioni di crittografia, tecniche di attacco e difesa informatica, con integrazione continua e riferimenti a casi di studio reali opportunamente anonimizzati.

Il corso è rivolto, oltre che agli Ingegneri, anche a Forze dell’Ordine, CTU, Periti, Investigatori, Informatici, Consulenti, Studenti, Avvocati e Appassionati di Indagini Informatiche e permetterà di ricevere attestato di frequenza e riconoscimento di crediti formativi.

Con orario dalle ore 9,30 alle ore 13,15 e dalle ore 14,30 alle ore 18,15, presso la sede dell’Ordine in Via Bruno Maderna, 7, Mestre (Venezia) il corso sulla digital forensics e cybersecurity consiste in 30 ore di lezione frontale tenuta da un team di docenti provenienti da tutta Italia, tutti operanti nell’ambito dell’informatica forense e delle indagini digitali.

I docenti del corso su digital forensics e cybersecurity sono i seguenti: l’Ing. Alberto Bulzatti, il Dott. Nanni Bassetti, l’Ing. Michele Vitiello, il Dr. Paolo Dal Checco, l’Ing. Paolo Reale, il Dott. Massimo Iuliani

Il programma del Corso su Informatica Forense e Cyber Security che si terrà a Venezia Mestre, organizzato dall’Ordine degli Ingegneri, è il seguente:

PRIMA GIORNATA – Martedì 14 maggio 2019

Presentazione corso e saluti di benvenuto
Ingegnere Alberto Bulzatti – Dottor Nanni Bassetti
Introduzione alla Digital Forensics e cenni alla Cyber Security: Best practices e acquisizione della prova scientifica. Laboratorio di Digital Forensics con sistemi Open Source esempi pratici con Distro Forense Caine, test e analisi forense.

SECONDA GIORNATA: Martedì 28 maggio 2019

Ingegnere Michele Vitiello
Digital Forensics e investigazioni digitali: ruolo e compiti del Consulente Informatico Forense. Copia Forense e Analisi con strumenti commerciali, Ufed 4PC, Axiom e tool commerciali. Laboratorio Pratico di Informatica Forense.
Dottor Paolo Dal Checco
OSINT e Informatica Forense: principali tecniche di ricerca online da fonti aperte. Acquisizione forense della prova digitale presente su Internet ottenuta anche tramite ricerche OSINT: siti web, forum, profili social network ma anche email, PEC, chat e messaggi. Cristallizzazione delle evidenze, privacy e catena di conservazione.

TERZA GIORNATA – Lunedì 3 giugno 2019

Ingegnere Paolo Reale
Architettura delle reti radiomobili: analisi dei tabulati di traffico e relativi strumenti, localizzazione tramite analisi delle celle telefoniche, rilevazione e mappatura delle coperture per analisi forense, casi reali.

QUARTA GIORNATA – Mercoledì 12 giugno 2019

Dottor Massimo Iuliani
Multimedia Forensics: Tecnologie per l’investigazione di immagini, video e Audio digitali (Restauro, Perizia Fonica e Trascrizione Intercettazioni), – Analisi dei metadati e di codifica- Tracce di singole e multipla compressione, Image and Video Ballistic.

CAINE 10 distribuzione forense in download

Caine 10.0, online la distribuzione d’informatica forense “Infinity”

CAINE 10 distribuzione forense in downloadCAINE 10, distribuzione Linux d’informatica forense con codename “Infinity”, è disponibile per il download. CAINE è una distribuzione forense basata su Linux e utilizzata quotidianamente da consulenti informatici forensi e Forze dell’Ordine per attività di digital forensics e investigazioni digitali.

Pochi giorni dopo l’uscita della nuova distribuzione forense Tsurugi Linux, qualche settimana dopo l’uscita delle distribuzioni forensi DEFT Zero 2018.2DEFT XVA, riportiamo con piacere l’uscita dell’ultima versione di CAINE, ormai consolidata distro forense contenente svariati strumenti preconfigurati per gestire attività di perizia informatica, avviabile in modalità “live”, installabile su PC oppure macchina virtuale.

L’avvio della distro per informatica forense CAINE 10, come al solito, permette di scegliere una modalità “compatibile” con hardware anche obsoleti, lo start in modalità grafica normale o con driver ridotti, in RAM e in modalità debug. In modalità BIOS, la distro forense CAINE si avvia con la schermata di boot seguente:

CAINE avvio distribuzione forense

In modalità UEDI, la distribuzione forense CAINE 10 si avvia con la seguente splash screen di scelta delle modalità di boot:

Caine distro forense in modalità UEFI

CAINE 10 possiede nuovi strumenti di acquisizione e analisi forense, tool per OSINT, Autopsy 4.9, supporto per APFS ready, BTRFS forensic tool, supporto per dispositivi SSD NVME, tool per acquisizione e analisi forense di smartphone, memoria, database e tanto altro. Il server SSH è disabilitato di default ma è sufficiente leggere la pagina del manuale per riabilitarlo.

CAINE 10 strumenti di acquisizione e analisi disco

CAINE 10.0 possiede una sezione di strumenti per Windows dedicati a incident response e live forensics, entrambi attività diffuse in ambito di perizia informatica forense. E’ possibile utilizzare il framework di proprio gradimento, modificando gli strumenti memorizzati sulla pendrive, come ad esempio Nirsoft suite + launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, Network tools, NTFS Journal viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC, Windows File Analyzer, HibernationRecon by Arsenal Recon.

Per bloccare e sbloccare la possibilità di scrivere sui dispositvi, CAINE fornisce lo strumento grafico “Unblock”, presente direttamente sul desktop, che imposta le proprietà di blockdev in scrittura o lettura sui dispositivi. Se non viene sbloccato un dispositivo impostandolo in “read-write” è impossibile non soltanto montare in scrittura il disco, ma anche scriverci sopra a basso livello tramite comandi come dd o dcfldd.

Caine 10 write block protezione blocco e sblocco scrittura

Rimane comunque la possibilità di impostare le proprietà di blocco in scrittura dei dischi anche da linea di comando, tramite i comandi “blockdev –setrw /dev/sdX” e “blockdev –setro /dev/sdX“, con “sdX” il device sul quale s’intende abilitare (con il parametro “–setwr”) o disabilitare (con il parametro “–setro”) la scrittura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da linea di comando oppure dal mounter grafico, cliccando sull’iconcina in basso nella barra delle applicazioni.

CAINE Linux mounter per i dischi in read only o read write

CAINE 10.0 può essere scaricato dal link principale riportato anche sul sito Caine Live o da altri mirror come GARR, HALIFAX o CFItaly, una volta scaricata l’immagine ISO della piattaforma è sufficiente masterizzarla su di un DVD oppure riversarla su pendrive USB tramite strumenti come Rufus, UnetBootIn o Etcher.

 

Tsurugi Linux Lab - Digital Forensics Distro

Tsurugi Linux, la nuova distribuzione forense tutta italiana

Tsurugi Linux Forensics DistroUna nuova distribuzione forense si affaccia nel panorama italiano, per fornire strumenti e supporto durante le attività di perizia informatica svolte dai consulenti informatici forensi e degli esperti d’informatica forense che operano all’interno delle Forze dell’Ordine. A discapito del nome – che di italiano ha poco – la distribuzione “Tsurugi Linux” – scaricabile gratuitamente dal sito tsurugi-linux.org e con il logo mostrato qui a destra – è nata dalle tastiere di Giovanni ‘sug4r’ Rattaro e Marco ‘blackmoon’ Giorgi, che hanno realizzato le versioni “Tsurugi Lab” e “Tsurugi Acquire” con l’integrazione del lavoro svolto da Davide ‘rebus’ Gabrini, che ha realizzato la piattaforma “Bento”, distribuita sul sito di Tsurugi ma separata dal sistema mainstream.

La presentazione ufficiale della distro forense è avvenuta durante la conferenza AvTokio in Giappone, con il talk “TSURUGI Linux – the sharpest weapon in your DFIR arsenal” durante il quale l’autore della piattaforma, Giovanni Rattaro, ne ha illustrato le principali caratteristiche.

Tsurugi Linux ad AVTokio Conference in Giappone

L’autore Giovanni Rattaro ha messo a disposizione di tutti le slide proiettate durante la conferenza AvTokio, dove presenta il team di sviluppo e spiega alcune delle scelte implementative e delle potenzialità del sistema, suddiviso nelle tre componenti del progetto Tsurugi Linux, Tsurugi Acquire e Bento.

Come tutte le distribuzioni forensi basate su Linux, Tsurugi Linux è un ambiente costituito da un Sistema Operativo Linux  sviluppato in modo da poter essere avviato direttamente su di un computer in modalità “live”, senza intaccare il sistema preesistente sul PC, oppure installato sul disco di un proprio computer o ancora su di una macchina virtuale.

Il fine di una distribuzione forense è quello di fornire un ambiente di lavoro predisposto per attività operative di acquisizione forense e di analisi, con gli strumenti testati, aggiornati e pre-configurati in modo tale da non richiedere procedure d’installazione e, se possibile, con le proprietà di write-blocking atte a non impattare su eventuali dispositivi esistenti sul PC su cui si opera o connessi successivamente.

Tsurugi-Linux viene distribuita in due versioni distinte, con finalità diverse, integrate da una raccolta di strumenti destinati ad attività incident response:

  • Tsurugi Lab: piattaforma dedicata all’informatica forense (acquisizione e analisi), OSINT e analisi malware, avviabile direttamente su DVD o su pendrive, distribuita come ISO ma, potenzialmente, installabile su un PC o su di una macchina virtuale, basata su Linux Ubuntu Mate LTS con Kernel 4.18.5 a 64 bit;
  • Tsurugi Acquire: sistema dedicato alla sola fase di acquisizione forense, con possibilità di eseguire limitati triage e verifiche di copie forensi, basata su Linux Ubuntu Mate LTS con Kernel 4.18.5 a 32 bit per maggiore compatibilità con dispositivi obsoleti;
  • Bento: raccolta di tool per Windows, Mac e Linux, da utilizzare su sistemi accesi e avviati per attività d’incident response o analisi forense sul campo.

Quelli che sembrano, per ora, essere i punti di forza di questa nuova distribuzione forense sono i seguenti:

  • un menù completo di numerosissimi tool per la digital forensics e ordinato secondo i tipici step di un’analisi forense: imaging, hashing, mount, timeline, artifacts analysis, data recovery, memory forensics, malware analysis, password recovery, network analysis, picture analysis, mobile forensics, OSINT, virtual forensics, crypto currency, other tools e reporting, con gli strumenti riportati anche più di una volta nelle sezioni all’interno delle quali ha senso che vengano utilizzati;
  • un aggiornamento (che speriamo continui anche in futuro) alle versioni più recenti di kernel e driver (a supporto dei tipi più svariati di schede video, audio, SATA, IDE, RAID, etc…) per poter avviare il maggior numero di PC e possibili, anche obsoleti;
  • possibilità di utilizzare la distribuzione sia in modalità live, con garanzie di blocco scrittura sui dischi, inibizione dell’automount e possibilità di montare in sola lettura i dispositivi, sia d’installare la piattaforma di analisi forense su PC o su di una macchina virtuale;
  • riduzione della dimensione occupata dall’immagine della distribuzione forense, limitata a 3.8 GB per la versione “full” Tsurugi Lab e poco più di 1GB per la versione “light” Tsurugi Acquire;
  • un team di sviluppo pronto a integrare nuovi strumenti di acquisizione e analisi;
  • una comunità che già pochi giorni dopo la pubblicazione sta crescendo in modo esponenziale, non soltanto in Italia ma anche in tutto il resto del mondo, e che sta pubblicando articoli sulla piattaforma e integrandola con script per configurare nuovi applicativi.

Tsurugi Linux entra in un contesto nel quale esistono già diverse distribuzioni dedicate all’informatica forense, a partire dalle ottime DEFT Linux (declinata nelle due versioni DEFT XVA come Virtual Appliance e DEFT Zero per le acquisizioni forensi) e CAINE, entrambe italiane, per arrivare alle straniere Paladin, Raptor e SIFT, ma anche in misura minore Kali Linux, Parrot e BackBox.

Ogni distro forense ha diverse modalità operative, strumenti, aggiornamenti e driver, per questo motivo il consiglio è di tenere una copia di tutte le distribuzioni d’informatica forense e utilizzarle in base al contesto. Non di rado, infatti, su particolari hardware una live distro risulta compatibile mentre un’altra non lo è, oppure una riesce a portare a termine un’attività di copia forense e l’altra può avere dei problemi.

Di seguito riportiamo alcune screenshot rappresentative di Tsurugi Linux, iniziando dalle scelte di avvio di Tsurugi Lab che al boot permette di avviare la forensic distro con interfaccia grafica attingendo alla pendrive/DVD che deve quindi rimanere inserita oppure caricandone il contenuto in RAM e permettendone quindi la rimozione, disabilitando in caso di necessità la grafica operando su display testuale. In caso di problemi al boot, è possibile disabilitare i driver nVidia e ATI, che su alcuni notebook interrompono l’avvio o non permettono di caricare l’interfaccia grafica.

Distribuzione Forense Tsurugi Linux e Boot

La schermata di Tsurugi Linux in versione Lab Edition contiene l’icona per l’installazione su PC o Macchina Virtuale, un OSINT Switcher, un Device Unlocker  e le informazioni in tempo reale sul sistema (RAM, CPU, rete, upload/download, etc…).

Tsurugi Linux Lab - Digital Forensics Distro

Novità per una distribuzione forense è l’introduzione di una sezione di Crypto Currency Forensics, in particolare bitcoin forensics, dedicata alle indagini digitali sulle criptomonete, con software come BTCRecover, BTCScan, BX Bitcoin Explorer, BitAddress, Bitcoin Bash Tools, Bitcoin-Tool, Bruteforce-Wallet, CoinBin, KeyHunter ed il wallet Electrum, che è possibile utilizzare anche in combinazione con la rete anonima Tor.

Bitcoin Forensics con Tsurugi LinuxPer chi desidera operare in ambito di ricerche online mediante tecniche OSINT, è disponibile il Tsurugi OSINT Profile Switcher, che disabilita i menù contenenti i tool di digital forensics mostrando solamente la sezione OSINT.

Tsurugi Linux Lab - OSINT Profile Switcher

Per poter abilitare la scrittura sui dispositivi connessi al sistema, viene fornito un “Tsurugi Device Unlocker” grafico.

Tsurugi Linux Device Unlocker

Infine, per chi ha necessità di eseguire copie forensi, attività di hashing o verifica di immagini forensi, la distribuzione Tsurugi Acquire permette di aumentare la velocità di avvio con la possibilità di caricare in RAM l’intera immagine poiché la dimensione della ISO è di circa 1GB, contro i quasi 4 della versione Tsurugi Lab.

Tsurugi Acquire, live forensic distro per copie forensi

Si consiglia di prestare attenzione al fatto che la versione Tsurugi Lab, se installata su PC o macchina virtuale, non blocca correttamente da scrittura i dischi collegati al sistema. Gli sviluppatori stanno lavorando per fixare questo problema, derivato dall’aggiornamento del kernel.

Seminario ONIF sulle Indagini Digitali

Seminario ONIF sulle Investigazioni Digitali

Seminario ONIF sulle Indagini DigitaliL’Osservatorio Nazionale d’Informatica Forense (ONIF) ha organizzato per venerdì 20 ottobre 2017 il seminario sulle investigazioni digitali dal titolo “La Digital Forensics: coordinamento, metodologia, tecnologia e potenzialità”. Il seminario sulle Indagini Digitali organizzato e patrocinato da ONIF si terrà ad Amelia, dalle ore 09:15 alle 17:30 ed è aperto a tutti previo invito o registrazione gratuita tramite sito EventBrite entro il 17 ottobre 2017.

Ai partecipanti al seminario organizzato dall’Associazione senza fini di lucro ONIF sarà rilasciato attestato di partecipazione e 8 crediti formativi cpe. L’evento è accreditato presso il Consiglio dell’Ordine degli Avvocati di Terni che riconoscerà 2 crediti formativi ai partecipanti ed anche accreditato presso l’Ordine degli Ingegneri di Terni che riconoscerà 6 crediti formativi.

Si ringraziano per il patrocinio l’Associazione Nazionale Carabinieri, la Città di Amelia, la Regione Umbria, il Rotary International Distretto 2090, la Fondazione Forense di Perugia e la Guardia Nazionale Ambientale.

Il seminario ONIF sulla Digital Forensics e le Investigazioni Digitali è possibile anche grazie alla sponsorizzazione di Cybera e Generali, che ringraziamo per aver contribuito all’evento.

   

E’ disponibile parcheggio riservato in Piazza Vera per relatori e autorità, Centro Storico, Ingresso da Via della Repubblica – Porta Romana.

Programma

Sessione del mattino

  • Introduzione alla terza edizione della manifestazione del Prof. Federico Bona Galvagno, Giudice della Sezione Penale di Terni
  • Saluti istituzionali e di rappresentanza
  • L’analisi dei tabulati e delle celle telefoniche nelle indagini giudiziarie” – Ing. Paolo Reale, Digital Forensics Analyst, Presidente ONIF, Presidente della Commissione Informatica dell’Ordine degli Ingegneri di Roma
  • Il modello olandese: NRGD (Netherlands Register of Court Experts)” – Dott. Mattia Epifani,  Consulente di Informatica Forense e Socio Fondatore ONIF
  • Coffee Break
  • Evoluzione e trend della digital forensics in Italia” – TBD, esponente Arma dei Carabinieri RACIS / RTI (RM) – previa autorizzazione
  • “Indagini nel dark web”– Esponente Guardia di Finanza – Nucleo Speciale Frodi Tecnologiche di Roma
  • Evoluzione della Digital Forensics: Esperienza Operativa” – Sovr. Capo Antonio Deidda, Polizia di Stato
  • La consulenza informatica tra giurisprudenza e dogma” – Avvocato Daniele Fabrizi, Penalista del Foro di Roma
  • Pausa Pranzo

Sessione pomeridiana: prove pratiche investigative

  • Copia forense con protocollo ISCSI” – Massimiliano Graziani – CFIP CFE CIFI OPSA ACE CDFP, Socio Fondatore ONIF
  • Autopsia di una relazione tecnica sbagliata e metodo scientifico nella digital forensics”  – Dott. Nanni Bassetti,  Project Manager progetto CAINE, Consulente di Informatica Forense, socio fondatore ONIF
  • Coffee Break
  • Chiusura dei lavori– Dott.ssa Lucia D’Amico, Analisi investigativa e Sicurezza Informatica, ONIF – A.N.C.