Vista la situazione di ridotta mobilità e distanziamento sociale che caratterizza questo periodo di (post) lockdown causa Covid-19/Coronavirus, il consueto appuntamento di maggio della conferenza HackInBo si terrà in una nuova veste: totalmente online, gratuito come sempre e con laboratori pratici.
Battezzata “Safe Edition”, l’edizione “sicura” in epoca di pandemia Covid-19 della conferenza HackInBo sarà gratuita come sempre e totalmente fruibile da remoto, con laboratori pratici e workshop su argomenti come digital forensics ed email forensics, malware analysis, iOS forensics, phishing, OSINT, DFIR, incident response, exploit, 2fa, live distro.
A partire dalle 9:30 di sabato 30 maggio e fino alle ore 18:00, esperti del settore terranno durante la “HackInBo Safe Edition” diverse demo pratiche e workshop per tutta la durata dell’evento, in diretta live su Youtube e altri social network.
Data che si prevede che i partecipanti possano essere numerosi, non sarà possibile interagire con il relatore se non al termine della presentazione: chi seguirà i workshop avrà la possibilità di porre delle domande ai relatori tramite la chat dell’evento su Youtube. Le domande selezionate saranno rivolte dal moderatore (che per questa edizione sarà Davide “Dante” Del Vecchio) direttamente al relatore, durante gli ultimi 10/15 minuti della presentazione.
Per gli sponsor c’è la possibilità di far inserire il logo nella diretta live, gli interessati possono inviare una mail a [email protected] per approfondimenti. Precisiamo che il contributo fornito dagli sponsor andrà interamente a enti che stanno contribuendo al supporto per l’emergenza del Covid-19/Coronavirus in Italia. Vi preghiamo di attenervi alle indicazioni in modo scrupoloso. Il workshop NON sarò interattivo. Il relatore risponderà ad alcune domande selezionate che arriveranno sulla chat di YouTube alla fine del proprio intervento.
Il canale youtube sul quale sarà trasmessa pubblicamente la conferenza HackInBo Safe edition è il seguente: https://youtu.be/sVoBI3_dTMI.
Ecco il programma ufficiale, con orari, elenco degli interventi con titolo, argomento e relatori che parteciperanno a questa sessione su Youtube del workshop di HackInBo Safe Edition. E’ stato pubblicato anche, di recente, il programma dettagliato di HackInBo Safe Edition, con le descrizioni degli interventi, i requisiti e il livello di difficoltà.
9:25 [Inizio streaming YouTube] Mario Anglani & Davide “DANTE” Del Vecchio
09:30 – 10:30 [Phishing] Spread phishing and escape blocklists – Andrea Draghetti
11:30 – 12:30 [Exploit Development Basics] Sviluppo di uno shellcode per customizzare i nostri exploit – Paolo Perego
12:30 – 13:30 [Malware Analysis] Analisi di un binario estratto da un Incident Response – Antonio Parata
13:30 – 14:30 [Incident Response/Digital Forensics] Scenari reali di DFIR: Tips&Tricks per una corretta analisi – Alessandro Di Carlo
14:30 – 15:30 [iOS Forensics/Security] iOS Forensics a costo zero. Illustrazione e utilizzo del jailbreak checkra1n su un dispositivo iOS – Mattia Epifani
15:30 – 16:30 [Phishing/Red Teaming] Come aggirare i sistemi a doppia autenticazione (phishing-ng) – Igor Falcomatà & Gianfranco Ciotti
16:30 – 17:30 [Incident Response/Digital Forensics] InvestigazIoni DFIR e OSINT con il progetto Tsurugi Linux – Tsurugi Linux Team: Davide Gabrini, Massimiliano dal Cero, Marco Giorgi, Giovanni Rattaro
Con un tweet dall’account ufficiale il Team Tsurugi ha fatto sapere che da oggi è disponibile per il download la nuova release della distribuzione per informatica forense, incident response, OSINT e malware analysis “Tsurugi Linux Lab” in versione 2019.1.
Nove mesi dopo la pubblicazione della prima versione della distribuzione Tsurugi Linux – dal nome giapponese ma prodotta da un team di sviluppatori italiani – è scaricabile la versione “Lab” della suite Tsurugi con grandi novità, ottimizzazione di spazio occupato e memoria, maggiore velocità di esecuzione e bugfix.
Di rilevanza la sezione “Computer Vision“, curata da Antonio Broi, con la suite di “face recognition” e “object detection” dedicata al riconoscimento automatico di volti umani e oggetti. La sezione “Computer Vision” è raggiungibile dal menù “TSURUGI->Picture Analysis->Computer Vision” e contiene diversi tool per riconoscimento facciale e di oggetti, configurati e pronti per l’uso.
Anche la sezione OSINT della suite Tsurugi è stata arricchita con decine di tool e strumenti per attività di Open Source Intelligence, configurati e pronti per l’utilizzo immediato, così da far risparmiare tempo a chi intende utilizzarli senza doverli scaricare, testare, configurare e installare.
Ricordiamo che l’opzione OSINT Switcher – presente sia nel menù sia sul desktop – oscura temporaneamente da Tsurugi le voci di menù relative a digital forensics, incident response e malware analysis, lasciando esclusivamente i menù OSINT, Artifacts Analysis, Network Analysis, Picture Analysis, Crypto Currency e Other Tools, modificando anche lo sfondo del desktop per rendere evidente il passaggio alla modalità “OSINT”.
Anche i menù dedicati alla digital forensics e incident response sono degni di nota, disposti indicativamente nell’ordine tipico con il quale si procede durante un’indagine informatica: Imaging, Hashing, Mount, Timeline, Artifacts Analisys, Data Recovery, Memory Forensics, Malware Analysis, Password Recovery, Network Analysis, Picture Analysis, Mobile Forensics, Cloud Analysis, Virtual Forensics, Crypto Currency, Other Tools e Reporting.
Nella sezione “Imaging” sono contenuti i tool per eseguire immagini, copie e acquisizioni forensi, con strumenti come Guymager, ewfacquire, dcfldd, dc3dd, esximager, cyclone, la suite afflib ed ewftools e gli strumenti per recupero dati come ddrescue e dd_rescue. Nella sezione “Hashing” osserviamo i tradizionali tool per generare diversi tipi di hash, inclusi i fuzzy hash mediante il tool “ssdeep”, utili quando gli oggetti da confrontare non sono proprio identici bit a bit. Nella sezione “Mount” risiedono i programmi per montare diversi filesystem e dispositivi, incluse macchine virtuali disci cifrati con bitlocker, shadow copy, il nuovo filesystem di Apple APFS e il coltellino svizzero xmount, che permette di montare – anche in modalità read-write – immagini forensi e convertirle “on the fly”. Il menù “Timeline” contiene i vari software per generare timeline e supertimeline con PLASO, log2timeline, TimeSketch, Yarp-timeline e il “The Sleuth Kit”, provvisto di tutti i tool da linea di comando oltre che della versione “Autopsy” con interfaccia grafica. La voce “Artifacts Analysis” è suddivisa per tipologia di artefatto e sistema operativo, spaziando da Mac/Apple a Boot Code, Browser, Email, Files, File System Google Takeout, Jump List, Metadata, Office Documents, P2P, Registry, Trash e Windows Logs. Decine di tool per esaminare artefatti EXIF ma anche tracce lasciate dagli strumenti di File Sharing Peer to Peer come Torrent ed Emule, registro, cestino, jump list ed eventi di Windows. “Data Recovery” contiene un’intera collezione di tool e script per il recupero dati, immagini, filesystem e artefatti con tool come Bulk Extractor e la sua GUI BEViewer, foremost, scalpel, photorec con la GUI qphotorec, testdisk, RecuperaBit e tanti altri. La sezione “Memory Forensics” raccoglie strumenti per acquisizione e analisi/parsing della RAM come lime, rekall, volatility e tanti altri. “Malware Analysis” è una categoria a sé, con diversi sottomenù contenenti strumenti per analisi di binari, debugger, decoder, analisi Flash, Java e Javascript, memoria, Office e PDF, sandbox, scanner e XOR e tantissimi altri strumenti. Il menù “Password Recovery” contiene tool per recuperare e decifrare/forzare password di file, archivi, pdf, wifi e persino wallet Bitcoin. La sezione “Network Analysis” contiene tutti gli strumenti utili per lavorare in rete e analizzare la rete, a partire da strumenti per raccolta e analisi log, PCAP, portscan, hping, map, scapy, ssldump, torify, Zenmap e tanti altri. Il menù “Picture Analysis” raccoglie strumenti per analisi forensi su immagini, steganografia, analisi exif ma anche la sottosezione “Computer Vision”. La categoria “Mobile Forensics” raccoglie invece tutti gli strumenti utili per acquisizioni e analisi di smartphone e cellulari, suddivisi per sistema operativo con tool per acquisire analizzare iPhone, iPad e tablet Apple con iOS, Android e Blackberry, con alcuni tool per parsing e analisi dei database Whatsapp e un browser per database SQLite, sempre utile quando si analizza il contenuto di copie forensi di smartphone. La voce “Cloud Analysis” contiene strumenti per cloud forensics o analysis, con tool come aws_ir e aws_respond, sshfs, s3fs, margaritashotgun e Turbinia. “Virtual Forensics” contiene i tool per analisi forense e conversione di macchine virtuali in diversi formati, oltre a docker. La sezione “Crypto Currency” contiene strumenti per attività di bitcoin forensics, utili ad esempio per generare, aprire, analizzare wallet Bitcoin, ricercare indirizzi bitcoin, transazioni, chiavi private su copie forensi o hard disk e forzare password dei più svariati wallet. La sezione “Other Tools” contiene strumenti non classificabili direttamente nelle sezioni precedenti, come tool per NFC, strumenti di auditing come Lynis, multidiff, TCHunt-ng o USBGuard. Infine, la sezione “Reporting” contiene software utile per la parte di raccolta delle evidenze, reportistica e redazione della relazione tecnica forense.
Fuori dal menù TSURUGI sono presenti strumenti di word processing e fogli di calcolo con tutta la suite LibreOffice, strumenti di grafica, analisi video, foto e audio, VPN, Remote Desktop e centinaia di tool di uso comune in ambito di computer e digital forensics, incident response, OSINT e malware analysis.
Altre feature spesso sottovalutate sono la tastiera e il mouse virtuale, che permettono di utilizzare la distribuzione live anche su dispositivi con porte USB occupate, poche porte USB (es. il Macbook Air con una sola porta USB) e indisponibilità di hub o su piattaforme dove mouse e tastiera hardware non vengono correttamente riconosciuti.
Da segnalare infine – elemento essenziale per attività di digital forensics – come dalla release di Tsurugi Linux Lab 2019.1 viene assicurata la funzionalità di write blocking anche nella versione installata, che nella release precedente era prerogativa solamente della distribuzione avviata in modalità “live”.
La suite Tsurugi è prodotta attraverso lo sviluppo di tre diversi componenti, tutti distribuiti gratuitamente, scaricabili dal sito Tsurugi-Linux.org e progettati per diverse esigenze:
Tsurugi Acquire (versione a 32 bit, limitata ai soli tool per acquisizione forense e triage/live preview, ideale per avvio in ram tramite modalità kernel “toram”);
Bento (portable toolkit per DFIR, raccolta di strumenti per attività di digital forensics e incident response).
La nuova release 2019.1 di Tsurugi Lab è scaricabile liberamente dal sito ufficiale Tsurugi Linux, direttamente dalla pagina Downloads alla quale si trovano i vari mirror. L’immagine ISO tsurugi_lab_2019.1.iso ha dimensione 4,152,360,960 byte e si può avviare in macchina virtuale, installare sul disco di un PC, masterizzare su DVD o riversare su pendrive USB tramite i tool UnetBootIn o Rufus.
Rispetto all’edizione precedente, ci sono novità anche nel Team Tsurugi, che dal 2019 vede nello staff, oltre a Giovanni Rattaro, Marco Giorgi e Davide Gabrini anche Francesco Picasso, Massimiliano Dal Cero e Antonio Broi.
Consigliamo, dopo il download della ISO di Tsurugi Lab, di verificare la signature GPG “tsurugi_lab_2019.1.iso.sha256.sig” del file contenente il valore hash SHA256 “tsurugi_lab_2019.1.iso.sha256” apposta dal Team Tsurugi tramite la chiave pubblica ufficiale del “tsurugi_linux_pub_key_BC006C0D.asc“, con il seguente procedimento:
E’ importante ottenere il seguente messaggio di conferma di validità della firma GPG, per essere certi che l’immagine ISO scaricata si quella originale prodotta dagli sviluppatori:
gpg: Good signature from "Tsurugi Linux Core Develop <[email protected]>" [sconosciuto] gpg: aka "Tsurugi Linux info <[email protected]>" [sconosciuto]
E’ comunque sempre possibile – per quanto il procedimento migliore sia la verifica della firma gpg – calcolare i valori hash MD5 e SHA256 dell’immagine in download e verificarli rispetto a una fonte affidabile, che dovrebbe essere in generale il sito degli sviluppatori o frutto di una ricerca su Google.
Una nuova distribuzione forense si affaccia nel panorama italiano, per fornire strumenti e supporto durante le attività di perizia informatica svolte dai consulenti informatici forensi e degli esperti d’informatica forense che operano all’interno delle Forze dell’Ordine. A discapito del nome – che di italiano ha poco – la distribuzione “Tsurugi Linux” – scaricabile gratuitamente dal sito tsurugi-linux.org e con il logo mostrato qui a destra – è nata dalle tastiere di Giovanni ‘sug4r’ Rattaro e Marco ‘blackmoon’ Giorgi, che hanno realizzato le versioni “Tsurugi Lab” e “Tsurugi Acquire” con l’integrazione del lavoro svolto da Davide ‘rebus’ Gabrini, che ha realizzato la piattaforma “Bento”, distribuita sul sito di Tsurugi ma separata dal sistema mainstream.
La presentazione ufficiale della distro forense è avvenuta durante la conferenza AvTokio in Giappone, con il talk “TSURUGI Linux – the sharpest weapon in your DFIR arsenal” durante il quale l’autore della piattaforma, Giovanni Rattaro, ne ha illustrato le principali caratteristiche.
Come tutte le distribuzioni forensi basate su Linux, Tsurugi Linux è un ambiente costituito da un Sistema Operativo Linux sviluppato in modo da poter essere avviato direttamente su di un computer in modalità “live”, senza intaccare il sistema preesistente sul PC, oppure installato sul disco di un proprio computer o ancora su di una macchina virtuale.
Il fine di una distribuzione forense è quello di fornire un ambiente di lavoro predisposto per attività operative di acquisizione forense e di analisi, con gli strumenti testati, aggiornati e pre-configurati in modo tale da non richiedere procedure d’installazione e, se possibile, con le proprietà di write-blocking atte a non impattare su eventuali dispositivi esistenti sul PC su cui si opera o connessi successivamente.
Tsurugi-Linux viene distribuita in due versioni distinte, con finalità diverse, integrate da una raccolta di strumenti destinati ad attività incident response:
Tsurugi Lab: piattaforma dedicata all’informatica forense (acquisizione e analisi), OSINT e analisi malware, avviabile direttamente su DVD o su pendrive, distribuita come ISO ma, potenzialmente, installabile su un PC o su di una macchina virtuale, basata su Linux Ubuntu Mate LTS con Kernel 4.18.5 a 64 bit;
Tsurugi Acquire: sistema dedicato alla sola fase di acquisizione forense, con possibilità di eseguire limitati triage e verifiche di copie forensi, basata su Linux Ubuntu Mate LTS con Kernel 4.18.5 a 32 bit per maggiore compatibilità con dispositivi obsoleti;
Bento: raccolta di tool per Windows, Mac e Linux, da utilizzare su sistemi accesi e avviati per attività d’incident response o analisi forense sul campo.
Quelli che sembrano, per ora, essere i punti di forza di questa nuova distribuzione forense sono i seguenti:
un menù completo di numerosissimi tool per la digital forensics e ordinato secondo i tipici step di un’analisi forense: imaging, hashing, mount, timeline, artifacts analysis, data recovery, memory forensics, malware analysis, password recovery, network analysis, picture analysis, mobile forensics, OSINT, virtual forensics, crypto currency, other tools e reporting, con gli strumenti riportati anche più di una volta nelle sezioni all’interno delle quali ha senso che vengano utilizzati;
un aggiornamento (che speriamo continui anche in futuro) alle versioni più recenti di kernel e driver (a supporto dei tipi più svariati di schede video, audio, SATA, IDE, RAID, etc…) per poter avviare il maggior numero di PC e possibili, anche obsoleti;
possibilità di utilizzare la distribuzione sia in modalità live, con garanzie di blocco scrittura sui dischi, inibizione dell’automount e possibilità di montare in sola lettura i dispositivi, sia d’installare la piattaforma di analisi forense su PC o su di una macchina virtuale;
riduzione della dimensione occupata dall’immagine della distribuzione forense, limitata a 3.8 GB per la versione “full” Tsurugi Lab e poco più di 1GB per la versione “light” Tsurugi Acquire;
un team di sviluppo pronto a integrare nuovi strumenti di acquisizione e analisi;
una comunità che già pochi giorni dopo la pubblicazione sta crescendo in modo esponenziale, non soltanto in Italia ma anche in tutto il resto del mondo, e che sta pubblicando articoli sulla piattaforma e integrandola con script per configurare nuovi applicativi.
Tsurugi Linux entra in un contesto nel quale esistono già diverse distribuzioni dedicate all’informatica forense, a partire dalle ottime DEFT Linux (declinata nelle due versioni DEFT XVA come Virtual Appliance e DEFT Zero per le acquisizioni forensi) e CAINE, entrambe italiane, per arrivare alle straniere Paladin, Raptor e SIFT, ma anche in misura minore Kali Linux, Parrot e BackBox.
Ogni distro forense ha diverse modalità operative, strumenti, aggiornamenti e driver, per questo motivo il consiglio è di tenere una copia di tutte le distribuzioni d’informatica forense e utilizzarle in base al contesto. Non di rado, infatti, su particolari hardware una live distro risulta compatibile mentre un’altra non lo è, oppure una riesce a portare a termine un’attività di copia forense e l’altra può avere dei problemi.
Di seguito riportiamo alcune screenshot rappresentative di Tsurugi Linux, iniziando dalle scelte di avvio di Tsurugi Lab che al boot permette di avviare la forensic distro con interfaccia grafica attingendo alla pendrive/DVD che deve quindi rimanere inserita oppure caricandone il contenuto in RAM e permettendone quindi la rimozione, disabilitando in caso di necessità la grafica operando su display testuale. In caso di problemi al boot, è possibile disabilitare i driver nVidia e ATI, che su alcuni notebook interrompono l’avvio o non permettono di caricare l’interfaccia grafica.
La schermata di Tsurugi Linux in versione Lab Edition contiene l’icona per l’installazione su PC o Macchina Virtuale, un OSINT Switcher, un Device Unlocker e le informazioni in tempo reale sul sistema (RAM, CPU, rete, upload/download, etc…).
Novità per una distribuzione forense è l’introduzione di una sezione di Crypto Currency Forensics, in particolare bitcoin forensics, dedicata alle indagini digitali sulle criptomonete, con software come BTCRecover, BTCScan, BX Bitcoin Explorer, BitAddress, Bitcoin Bash Tools, Bitcoin-Tool, Bruteforce-Wallet, CoinBin, KeyHunter ed il wallet Electrum, che è possibile utilizzare anche in combinazione con la rete anonima Tor.
Per chi desidera operare in ambito di ricerche online mediante tecniche OSINT, è disponibile il Tsurugi OSINT Profile Switcher, che disabilita i menù contenenti i tool di digital forensics mostrando solamente la sezione OSINT.
Per poter abilitare la scrittura sui dispositivi connessi al sistema, viene fornito un “Tsurugi Device Unlocker” grafico.
Infine, per chi ha necessità di eseguire copie forensi, attività di hashing o verifica di immagini forensi, la distribuzione Tsurugi Acquire permette di aumentare la velocità di avvio con la possibilità di caricare in RAM l’intera immagine poiché la dimensione della ISO è di circa 1GB, contro i quasi 4 della versione Tsurugi Lab.
Si consiglia di prestare attenzione al fatto che la versione Tsurugi Lab, se installata su PC o macchina virtuale, non blocca correttamente da scrittura i dischi collegati al sistema. Gli sviluppatori stanno lavorando per fixare questo problema, derivato dall’aggiornamento del kernel.
Per chi fosse interessato alla computer forensics e digital forensics, durante i giorni di venerdì 14, 21, 28 Ottobre e venerdì 4 Novembre 2016 si terrà il corso sulle attività d’informatica forense e investigazioni digitali.
Il corso di digital forensics su informatica forense e indagini digitali che si terrà a Torino tra ottobre e novembre 2016 fornirà agli allievi le conoscenze principali dell’informatica forense, mettendo in evidenza sia gli aspetti tecnologici che quelli giuridici attinenti alla prova digitale in ambito d’informatica forense, elementi necessari per le attività di perizia informatica svolta dai consulenti informatici forensi. Durante il corso verrà illustrato l’utilizzo dei sistemi DEFT e DART, utilizzati quotidianamente da Consulenti Tecnici Forensi e Forze dell’Ordine, per attività digital forensics e incident response su computer e dispositivi mobili.
Si partirà dalle basi della digital forensics, analizzando le metodologie di base impiegate dagli operatori per attività di recupero dati o ricostruzione delle attività svolte sul PC, fino ad arrivare ad illustrare le più sofisticate tecniche di acquisizione forense di evidenze digitali e recupero dati da cellulari, smartphone e tablet mediante sistemi di mobile forensics, oltre che acquisizione e analisi del traffico di rete tramite tecniche di network forensics. Seguiranno nozioni sulle tecniche di analisi, elaborazione, reportistica e relazione tecnica che fanno parte di un corretto processo di perizia informatica prodotta da consulenti informatici forensi specializzati in informatica forense.
Il corso sull’informatica forense e investigazioni digitali che si terrà a Torino è articolato in 4 giornate sia teoriche sia pratico operative sulla digital forensics, con l’ultima giornata che sarà effettuata presso un vero laboratorio d’informatica forense permettendo un approccio strettamente procedurale.
Il dettaglio del programma del corso di Computer Forensics e Acquisizione/Analisi della Prova Digitale è il seguente:
Giorno 1
Introduzione alle problematiche di computer forensics
Le fasi dell’accertamento forense su dati digitali
Princìpi, preparazione, precauzioni e utilizzo dei sistemi live
Introduzione al sistema DEFT e DART
Utilizzo di DEFT con i principali OS e filesystem
Tipologie di acquisizione forense e formati
Attività di preview e triage sicuro con DEFT
Acquisizione di memorie di massa
Acquisizione di memoria volatile
Cenni su acquisizione di smartphone
Giorno 2
Verifica e apertura delle immagini forensi
Virtualizzazione delle immagini
Recupero dei dati cancellati
Analisi dei metadati
Ricostruzione delle attività tramite timeline e supertimeline
Rilevamento di compromissioni
Analisi delle periferiche USB utilizzate
Analisi dei documenti aperti e utilizzati
Estrazione di evidenze tramite Bulk Extractor e Autopsy
Giorno 3
Riepilogo su metodologie e strumenti di acquisizione
Mercoledì 28 ottobre 2015 sono iniziati i corsi di Sicurezza Informatica A e B per l’anno accademico 2015/2016, per i quali sono Professore a Contratto presso la Struttura Universitaria Interdipartimentale in Scienze Strategiche (SUISS) per l’Università degli Studi di Torino.
Le informazioni sui corsi, gli avvisi, gli orari aggiornati sono pubblicati nel portale dei Servizi Online della SUISS.
Il programma del corso di Sicurezza Informatica per l’Università degli Studi di Torino presso la SUISS, Struttura Universitaria Interdipartimentale in Scienze Strategiche, è il seguente:
Introduzione alla sicurezza informatica
Protocolli di Rete
Vulnerabilità applicative, locali, di rete e componente umana