Archivi tag: dark web

Seminario ONIF sulle Indagini Digitali

Seminario ONIF sulle Investigazioni Digitali

Seminario ONIF sulle Indagini DigitaliL’Osservatorio Nazionale d’Informatica Forense (ONIF) ha organizzato per venerdì 20 ottobre 2017 il seminario sulle investigazioni digitali dal titolo “La Digital Forensics: coordinamento, metodologia, tecnologia e potenzialità”. Il seminario sulle Indagini Digitali organizzato e patrocinato da ONIF si terrà ad Amelia, dalle ore 09:15 alle 17:30 ed è aperto a tutti previo invito o registrazione gratuita tramite sito EventBrite entro il 17 ottobre 2017.

Ai partecipanti al seminario organizzato dall’Associazione senza fini di lucro ONIF sarà rilasciato attestato di partecipazione e 8 crediti formativi cpe. L’evento è accreditato presso il Consiglio dell’Ordine degli Avvocati di Terni che riconoscerà 2 crediti formativi ai partecipanti ed anche accreditato presso l’Ordine degli Ingegneri di Terni che riconoscerà 6 crediti formativi.

Si ringraziano per il patrocinio l’Associazione Nazionale Carabinieri, la Città di Amelia, la Regione Umbria, il Rotary International Distretto 2090, la Fondazione Forense di Perugia e la Guardia Nazionale Ambientale.

Il seminario ONIF sulla Digital Forensics e le Investigazioni Digitali è possibile anche grazie alla sponsorizzazione di Cybera e Generali, che ringraziamo per aver contribuito all’evento.

   

E’ disponibile parcheggio riservato in Piazza Vera per relatori e autorità, Centro Storico, Ingresso da Via della Repubblica – Porta Romana.

Programma

Sessione del mattino

  • Introduzione alla terza edizione della manifestazione del Prof. Federico Bona Galvagno, Giudice della Sezione Penale di Terni
  • Saluti istituzionali e di rappresentanza
  • L’analisi dei tabulati e delle celle telefoniche nelle indagini giudiziarie” – Ing. Paolo Reale, Digital Forensics Analyst, Presidente ONIF, Presidente della Commissione Informatica dell’Ordine degli Ingegneri di Roma
  • Il modello olandese: NRGD (Netherlands Register of Court Experts)” – Dott. Mattia Epifani,  Consulente di Informatica Forense e Socio Fondatore ONIF
  • Coffee Break
  • Evoluzione e trend della digital forensics in Italia” – TBD, esponente Arma dei Carabinieri RACIS / RTI (RM) – previa autorizzazione
  • “Indagini nel dark web”– Esponente Guardia di Finanza – Nucleo Speciale Frodi Tecnologiche di Roma
  • Evoluzione della Digital Forensics: Esperienza Operativa” – Sovr. Capo Antonio Deidda, Polizia di Stato
  • La consulenza informatica tra giurisprudenza e dogma” – Avvocato Daniele Fabrizi, Penalista del Foro di Roma
  • Pausa Pranzo

Sessione pomeridiana: prove pratiche investigative

  • Copia forense con protocollo ISCSI” – Massimiliano Graziani – CFIP CFE CIFI OPSA ACE CDFP, Socio Fondatore ONIF
  • Autopsia di una relazione tecnica sbagliata e metodo scientifico nella digital forensics”  – Dott. Nanni Bassetti,  Project Manager progetto CAINE, Consulente di Informatica Forense, socio fondatore ONIF
  • Coffee Break
  • Chiusura dei lavori– Dott.ssa Lucia D’Amico, Analisi investigativa e Sicurezza Informatica, ONIF – A.N.C.
Corso su Bitcoin e Dark Web

Corso su Bitcoin e Dark Web

Corso su Bitcoin e Dark WebAnche quest’anno, con la collaborazione di Green Sistemi, si ripropone a Torino il corso su Bitcoin e Deep/Dark Web finalizzato a far conoscere le caratteristiche tecniche della moneta matematica fornendo spunti sulle potenzialità investigative legate alla bitcoin forensics e alla bitcoin intelligence, al dark web e all’utilizzo di entrambi nel fenomeno dei ransomware.

Lo scopo del corso sul Bitcoin è quello di fornire le conoscenze di base relative alla criptomoneta e alla sua rete di pagamento, comprendere le potenzialità del mezzo e poter operare in sicurezza senza rischi.

Si partirà dalla storia del Bitcoin, analizzando il suo sviluppo nel tempo e i suoi punti di forza, le caratteristiche tecniche e il motivo per il quale è chiamata moneta “crittografica”, la blockchain e i suoi principi di funzionamento con qualche brevissimo cenno ai miner e il mining. Per chi non ha mai fatto transazioni o cambio di Euro in Bitcoin, si mostreranno i metodi e siti per l’acquisto e gli strumenti per poter aprire/creare un wallet e utilizzarlo per inviare o ricevere bitcoin.

Durante il corso sui bitcoin si parlerà dei rischi nell’utilizzo delle cripto monete come mezzo di scambio o di accantonamento di valore e si mostrerà come la moneta elettronica viene purtroppo usata dalle organizzazioni criminali, nel dark web e non solo. Casi come Cryptolocker e varianti come CTB-Locker. CryptoWall, Cryptolocker, TeslaCrypt, Locky, CryptXXX mostrano come il fenomeno dei ransomware si è strutturato pesantemente intorno al protocollo Bitcoin. Nel citare la problematica dei ransomware, si mostreranno alcune soluzioni per la protezione e difesa da ransomware spiegando anche come decifrare i dati criptati dai ransomware con tool o servizi senza ovviamente pagare il riscatto.

Il corso su Bitcoin si terrà a Torino venerdì 28 aprile 2017, dalle ore 9.00 alle 19.00 all’Enviroment Park di Via Livorno 60. Per informazioni su costi e iscrizioni contattare Mirko Patti all’indirizzo [email protected] o al numero +39 345.76.45.901.

Corso su Digital Forensics ed Ethical Hacking

Corso di Digital Forensic ed Ethical HackingNei mesi di aprile e maggio 2017, presso l’Ordine degli Ingegneri della provincia di Brescia, si terrà il Corso di Digital Forensics & Ethical Hacking, dove avrò il piacere di partecipare come relatore insieme a docenti del calibro di Giovanni Ziccardi, Nanni Bassetti, Paolo Reale, Andrea Ghirardini, Mattia Epifani, Alessandro Borra, Massimo Iuliani e Lorenzo Faletra, docenti in buona parte afferenti l’Osservatorio Nazionale d’Informatica Forense (ONIF).

L’iscrizione al corso sulla digital forensics che si terrà a Brescia è limitata a 30 partecipanti che potranno seguire 32 ore di formazione pura, sia teorica sia pratica per un costo d’iscrizione di € 414,80 (€ 340 + IVA) ricevendo 32 CFP (per la categoria “corso”).

Lo scopo del corso di Digital Forensics ed Ethical Hacking è quello di fornire degli approfondimenti per chi ha una base di informatica forense e investigazione digitale, materia in continua trasformazione e divenire. Durante il corso i partecipanti potranno aggiornarsi su vari argomenti di informatica forense e potranno seguire dei laboratori pratici, impareranno a trovare file nascosti, a recuperare dati cancellati, a duplicare integralmente informazioni in modo non ripudiabile tramite copie forensi, anche attraverso l’utilizzo di strumenti hardware o software, ricerche OSINT, Bitcoin forensics, crittografia, strumenti e metodologie per eseguire perizie multimediali su immagini e video, tecniche di attacchi informatici, mobile forensics, analisi di tabulati di traffico e strumenti per perizie su celle telefoniche e localizzazione.

Il corso viene interamente svolto in un’aula informatica, con 15 workstation, è possibile portare il proprio laptop per fare test ed esercizi che man mano verranno proposti nei corso di alcuni interventi.

Programma del Corso di Digital Forensics

Verrà consegnata ai partecipanti una pendrive usb con distribuzione CAINE e Parrot Security. Il corso è aperto oltre che agli Ingegneri, a Forze dell’Ordine, CTU, Periti, Investigatori, Informatici, Consulenti, Studenti, Avvocati e Appassionati di Indagini Informatiche.

Di seguito il programma dettagliato del corso di Digital Forensics ed Ethical Hacking che si terrà a Brescia, suddiviso per giornata e docente:

Martedì 11 Aprile 2017

Ore 9-13: Laboratorio di Digital Forensics con sistemi Open Source esempi pratici con Distro Caine, test e analisi forense (Dott. Nanni Bassetti);

Ore 14-18: Ethical Hacking, sistemi di protezione e di attacco di una rete informatica con sistema operativo Parrot Security (Lorenzo Faletra).

Giovedì 20 Aprile 2017

Ore 9-11: Morte del dato, immortalità delle informazioni, diritto all’oblio … La de-indicizzazione come strumento per rimuovere informazioni (Prof. Giovanni Ziccardi);

Ore 11-13: Multimedia Forensics: Tecnologie per l’investigazione di immagini e video digitali – Analisi dei metadati e di codifica – Tracce di singole e multipla compressione, Image and Video Ballistic (Dott. Massimo Iuliani);

Ore 14-18: iOS Forensics – Introduzione alle migliori pratiche per l’identificazione, acquisizione e analisi di dispositivi iOS – Bypass dei sistemi di protezione e limiti attuali, dimostrazioni live e test su dispositivi mobili e cloud (Dott. Mattia Epifani).

Martedì 4 Maggio 2017

Ore 9-11: Digital Forensics e investigazione digitale ruolo e compiti del Consulente Informatico Forense (Dott. Alessandro Borra);

Ore 11-13: Laboratorio Pratico di Informatica Forense – Acquisizione live con duplicatori vari, con Ufed4PC, Analisi con Axiom e Physical Analyzer (Ing. Michele Vitiello);

Ore 14-16: Bitcoin, Dark Web e indagini sulle criptovalute (Dott. Paolo Dal Checco);

Ore 16-18: OSINT e indagini sulle fonti aperte (Dott. Paolo Dal Checco);

Venerdì 26 Maggio 2017

Ore 9-12: Architettura delle reti mobili, analisi dei tabulati di traffico e relativi strumenti, localizzazione tramite analisi delle celle telefoniche, rilevazione e mappatura delle coperture per analisi forense, casi reali (Ing. Paolo Reale);

Ore 12-13 e 14-17: Cloud & Enterprise, casi pratici di Acquisizione e Analisi (Dott. Andrea Ghirardini);

Ore 17-18: test e valutazione finale (Ing. Michele Vitiello).

Per informazioni e iscrizioni, visitare questo link.

Bitcoin e Cash Out al Ministero del Tesoro

GIPAF presso il Ministero dell'Economia e delle FinanzeGiovedì 17 dicembre 2015 si è riunito a Roma, presso il Ministero dell’Economia e delle Finanze (MEF), il Gruppo di Lavoro Interdisciplinare per la Prevenzione Amministrativa delle Frodi sulle Carte di Pagamento (GIPAF). Il gruppo opera presso il Dipartimento del Tesoro, nell’ambito delle competenze dell’Ufficio Centrale Antifrode dei Mezzi di Pagamento (UCAMP) e vi partecipano esperti nel settore delle frodi, designati dalle Amministrazioni statali, dalla Banca d’Italia, dall’ABI, dalle Forze di Polizia, dalle società segnalanti, nonché esperti provenienti dal mondo accademico e scientifico.

Nella Sala del Parlamentino del palazzo di via XX Settembre il Dott. Giuseppe Maresca, dirigente generale della Direzione V – Prevenzione Utilizzo Sistema Finanziario per Fini Illegali,  ha introdotto i lavori accennando tra le altre cose al fenomeno del Bitcoin e della blockchain, sollevando alcune osservazioni sulle strategie investigative da impiegare nel mondo delle criptovalute.

Il tavolo di lavoro si è quindi aperto con la presentazione del Rapporto Statistico sulle frodi con le carte di pagamento n. 5/2015, da parte del Dott. Antonio Adinolfi e del Dott. Stefano Grossi dell’Ufficio Centrale Antifrode dei Mezzi di Pagamento (UCAMP). ll Rapporto annuale analizza sotto diversi aspetti i fenomeni delle frodi su carte di pagamento emesse in Italia, le manomissioni agli ATM e le revoche delle convenzioni dei POS e per la prima volta nel rapporto del 2015 vi sono interessanti approfondimenti sui black market e il Bitcoin.

Analisi dei Black Market di Pierluigi PaganiniDopo la presentazione del Rapporto Statistico sulle Frodi l’Ing. Pierluigi Paganini ha illustrato la sua relazione sulle Carte di Pagamento nel Deep Web, contenente un’ottima analisi dei principali black market nel dark web e del tipo di attività e prodotti illegali proposte al loro interno. L’Ing. Pierluigi Paganini ha analizzato black market come Abraxas, Agora, AlphaBay, Nucleus, Outlaw, Italian DarkNet Community, Dream Market, Haven e Middle Earth raccogliendo statistiche sulle categorie merceologiche nei vari siti onion di Tor.

Bitcoin e Cash OutA seguire è stato il turno dell’intervento congiunto tenuto insieme al Dott. Stefano Capaccioli su Bitcoin e Cash Out. Il Bitcoin è un fenomeno certamente rilevante per le implicazioni sull’anonimato (in realtà pseudo-anonimato) che lo rendono uno dei mezzi di pagamento utilizzati nel dark web. Il cerchio dell’acquisto/vendita o riciclaggio si chiude con il cash out, cioè la conversione dei bitcoin in moneta fiat come Euro o Dollaro.

Bitcoin Forensics al GIPAFLa prima parte della presentazione ha riguardato gli aspetti tecnici e Investigativi del Bitcoin, che includono la bitcoin forensics e intelligence le analisi sui sistemi di conversione dei bitcoin in moneta fiat. La seconda parteha riguardato gli aspetti giuridici e legislativi delle criptovalute toccando questioni come la definizione giuridica del Bitcoin, gli unbanked, i reati commessi mediante il Bitcoin, riciclaggio e antiriciclaggio, normative e Anti Money Laundering (AML).

Il Dott. Marco Mastrorillo ha quindi presentato un aggiornamento delle tabelle tipologiche SIPAF, seguito dal Col. Federico Romi che ha parlato delle Carte di Pagamento nello scenario internazionale di criminalità e terrorismo. Il Dott. Antonio Adinolfi ha quindi chiuso la sessione di lavoro.

L’interesse nella sala è stato elevato, indice di sensibilità da parte del Gruppo di Lavoro al tema bitcoin e alle sue implicazioni economiche e investigative. Sull’argomento sono state sollevate alcune interessanti domande, in particolare circa le problematiche legate al sequestro e confisca dei bitcoin, argomento sul quale sarà necessario lavorare dal punto di vista tecnico e giuridico.

Sia io sia il Dott .Stefano Capaccioli siamo profondamente grati al Dott. Antonio Adinolfi (dirigente dell’Ufficio VI della Direzione V), al Colonnello Federico Romi, al Dott. Marco Mastrorillo e al Dott. Riccardo Valenza (Segretario del GIPAF) per l’opportunità concessa e l’attenzione prestata.

Phishing al phisher di Google

Phishing di Account GoogleIl phishing è una delle maniere più facili con le quali i malintenzionati riescono a far cadere in trappola ignare vittime, ingannate da una mail fraudolenta o da un sito web farlocco. Che sia un finto sito di un Corriere, di un Operatore Telefonico o di una Compagnia di Energia Elettrica da cui far scaricare un ransomware o un finto sito di Google creato per rubare nome utente e password.

Questo è proprio il caso della schermata di login fraudolenta, raggiungibile fino a poco tempo fa sul dominio dannytice.com, diffusa via email tramite messaggi di phishing che invitavano a verificare le proprie credenziali di Google o comunque ad accedere alla webmail.

La schermata di phishing che si finge Google era salvata in una cartella riservata di un’installazione bucata di WordPress, come si evince dal percorso “/wp-admin/css/brige/jett/sick.html” che contiene gli script che permettono la raccolta fraudolenta delle credenziali degli utenti. E’ ormai pratica comune quella di bucare siti WordPress vulnerabili per installarvi sopra pagine di phishing, download di ransomware o trojan bancari, script per attaccare altri siti web o server o persino portali per vendita di accessi a siti pedopornografici. In questo caso, l’utente si ritrova in una pagina di login che ben conosce, quella dove Google richiede i dati di accesso per loggarsi sulla casella di posta Gmail.

L’URL ormai non è più accessibile, ma potete vedere come compariva quando era attiva accedendo ad una copia remota ospitata sul sito archive.is. Se non si osserva con attenzione la barra degli indirizzi, la pagina di phishing sembra in tutto e per tutto quella che Google mostra per richiedere i dati di accesso. La pagina è stata rimossa in un paio di giorni e Google ha rilevato, tramite il suo Safe Browsing, la presenza di contenuti sospetti.

Google Safe Browsing

Una volta inseriti i dati di accesso, la vittima viene rediretta verso la vera pagina di Google, che richiederà nuovamente i dati di accesso perché quelli inseriti nella pagina di phishing non vengono passati correttamente. L’utente pensa che ci sia stato un problema di rete, reinserisce login e password e si ritrova nella sua webmail. Il problema è che i dati di accesso ora li ha anche l’attaccante, che li userà per reati come furto d’identità, cercherà nei messaggi di posta informazioni come nomi utente, password, coordinate bancarie, fotocopie dei documenti d’identità e li userà nel modo che riterrà più proficuo. Alternativamente, venderà l’account nel dark web insieme ad altre centinaia di account bucati. Il prezzo degli account bucati può andare da qualche dollaro a qualche decina di dollaro, in base all’affidabilità delle credenziali.

Invece di cancellare la mail e ignorare il problema, ho deciso di provare ad incastrare il phisher, registrando un account Google ad hoc nel quale ho attivato il meccanismo di protezione a due fattori, chiamato anche two factor authentication o verifica in due passaggi.

Google Verifica in Due Passaggi

La verifica in due passaggi (nota anche come “Autenticazione a Due Fattori”, “2FA” o “Two Factor Authentication“) fa sì che l’inserimento di login e password, seppur corretti, non permetta immediatamente l’accesso all’account, ma causi l’immediato invio di un SMS al numero di cellulare prescelto in fase di attivazione. Il messaggio di testo contiene un codice numerico da inserire nella pagina di login, per confermare la propria identità. Il tutto avviene gratuitamente ed è simile al modo di procedere di alcuni servizi bancari, che chiedono al proprietario del conto corrente conferma per poter eseguire il login o inserire disposizioni bancarie.

Poiché, avendo attivato il servizio di autenticazione a due fattori, la conoscenza del login e della password corretti non permette di entrare nella webmail, ho potuto tranquillamente “cadere nel tranello” digitando le vere credenziali all’interno della pagina di phishing del login di Google.

Login sulla pagina di Phishing di Google

A questo punto, il delinquente ha acquisito le mie credenziali e il browser viene rediretto verso la vera webmail Gmail, dove mi vengono nuovamente richieste le credenziali. La prima parte del phishing al phisher finisce qui e non resta che attendere.

Una settimana dopo, arriva un SMS sul numero di cellulare che ho indicato durante la configurazione dell’autenticazione a due fattori per la casella di posta Gmail creata appositamente per questo esperimento.

Google Phishing 2FA

Tre minuti dopo, arriva un secondo SMS, sempre al numero impostato come secondo fattore di autenticazione per l’account Google creato apposta per il test.

Two Factor Authentication e Google Phishing

 

In sostanza, ho sfruttato la pagina creata dal phisher come una sorta di honeypot al contrario. Con gli honeypot si creano servizi volutamente vulnerabili e monitorati in modo da far cadere in trappola gli attaccanti, talvolta distraendoli dai reali obbiettivi strategici. Con questo sistema, ho passato al phisher delle credenziali funzionanti, create apposta per essere monitorate.

Gli SMS mi hanno confermato che il phisher ha abboccato e ha usato le credenziali rubate per verificare la bontà dell’account. Potrebbe anche non trattarsi del phisher, dato che egli potrebbe aver ha venduto le credenziali a un acquirente che ha tentato di utilizzarle. Il doppio tentativo può far pensare a un’attività manuale di un utente che ha provato a reinserire le credenziali, credendo di averle magari digitate male la prima volta.

A questo punto, ho eseguito un login sull’account Google utilizzato come honeypot: ovviamente ho potuto farlo avendo accesso al numero di cellulare registrato come dispositivo di sicurezza per l’autenticazione a due fattori. Ho quindi proceduto a visualizzare la pagina degli alert di sicurezza che Google fornisce a tutti gli utenti per tenerli aggiornati sui dispositivi usati di recente, accedibile da chiunque all’indirizzo http://security.google.com/settings/security/activity?pli=1.

Il phisher di Google in trappola

Google ha identificato il tentativo di accesso fraudolento comunicandomi che “qualcuno ha la mia password, così è stato impedito il login”, loggando l’indirizzo IP utilizzato dal phisher per tentare l’accesso alla casella di posta creata come honeypot. Google ha infatti tracciato il primo dei due tentativi di accesso, anche se è stato eseguito con le credenziali corrette (rubate tramite phishing) ma senza che l’attaccante sia riuscito a confermare il codice di autenticazione a due fattori inviato via SMS al numero di cellulare che ho predisposto per la trappola.

Come si nota nell’immagine, l’indirizzo IP da cui è stato tentato l’utilizzo delle credenziali rubate è italiano e appartiene al range di IP assegnato da WIND Telecomunicazioni S.p.A. Le porte aperte sull’IP, poco dopo il tentativo di accesso al mio account honeypot, erano le seguenti:

[+] Nmap scan report for ppp-xxx-xxx.15-151.wind.it (151.15.xxx.xxx)
Host is up (0.14s latency).
Not shown: 94 filtered ports

PORT STATE SERVICE VERSION
21/tcp closed ftp
22/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0)
80/tcp closed http
81/tcp closed hosts2-ns
443/tcp open https?
3128/tcp open http-proxy Squid http proxy 2.7.STABLE9

Il Sistema Operativo rilevato indica – e lo si intuisce anche dal banner sulla porta 22 – un Linux :

Running (JUST GUESSING): Linux 3.X|2.6.X|2.4.X (93%), Netgear embedded (93%), Western Digital embedded (93%), AXIS Linux 2.6.X (91%), Crestron 2-Series (89%), Vodavi embedded (87%), Check Point embedded (86%), HP embedded (85%)
OS CPE: cpe:/o:linux:kernel:3 cpe:/o:axis:linux:2.6 cpe:/o:linux:kernel:2.6 cpe:/o:crestron:2_series cpe:/o:linux:kernel:2.4.26

Aggressive OS guesses: Linux 3.0 – 3.1 (93%), Netgear DG834G WAP or Western Digital WD TV media player (93%), AXIS 210A or 211 Network Camera (Linux 2.6) (91%), Linux 2.6.38 – 3.2 (90%), Crestron XPanel control system (89%), Linux 2.6.32 – 2.6.39 (88%), Linux 2.6.38 – 3.0 (88%), Linux 2.6.39 (87%), Vodavi XTS-IP PBX (87%), Check Point VPN-1 UTM appliance (86%)

Da questo test è possibile trarre alcune conclusioni:

  • L’autenticazione a due fattori è un ottimo metodo di protezione dal phishing, anche se può essere bypassato con alcuni accorgimenti;
  • Se avessi utilizzato la Google Authenticator App invece degli SMS sul numero di cellulare non avrei potuto rilevare la compromissione in tempo reale, pur essendo in ogni caso protetto dall’accesso non autorizzato;
  • Per tentare di accedere al mio account è stato utilizzato un indirizzo IP italiano: può trattarsi dell’IP di un PC compromesso, di un proxy (la porta 3128 sembra portare in questa direzione), del PC di chi ha lanciato la campagna di phishing o di chi ha acquistato le credenziali rubate.;
  • Il phishing è ancora uno dei metodi più semplici per rubare credenziali da utilizzare poi per furto d’identità, business email compromise (BEC), truffe e ogni tipo di reati che quotidianamente vedono vittime in tutto il mondo;
  • Se vi imbattete in pagine di Phishing, potete segnalarle a Google all’indirizzo https://www.google.com/safebrowsing/report_phish/?hl=it e verranno rimosse in breve tempo dai motori di ricerca e segnalate dal browser Chrome tramite Google Safe Browsing.