Archivi tag: osint

OSINT e acquisizione delle prove dal internet e dal web

Corso su OSINT e acquisizione della prova online

OSINT e acquisizione delle prove dal internet e dal webMercoledì 21 novembre, dalle 09:30 alle 17:30, terrò a Brescia il corso su OSINT e tecniche di acquisizione delle prove online, per utilizzo a fini legali. Lo scopo del corso è quello d’illustrare le basi dell’OSINT (Open Source INTelligence) per poi dettagliare maggiormente la fase di raccolta, acquisizione e produzione della prova digitale ottenuta tramite le tecniche OSINT per uso legale, ad esempio per la redazione di memoria, querela o relazione tecnica per l’accusa o la difesa.

Durante il corso i partecipanti apprenderanno le principali tecniche per eseguire indagini online tramite da fonti aperte, impareranno quali informazioni si possono ottenere, come raggiungerle e validarle, approfondendo poi le modalità con le quali tali informazioni possono diventare prove digitali, utili per la produzione come evidenza o prova in giudizio.

In particolare, faremo riferimento all’acquisizione forense e cristallizzazione di siti web come prova per utilizzo in Tribunale (ad esempio in caso di violazione di proprietà intellettuale, plagio, etc…) o alla raccolta di prove da social network come Facebook, Twitter o Linkedin (ad esempio in casi di diffamazione, minacce, stalking o concorrenza sleale) arrivando a toccare argomenti come la raccolta delle prove in ambito di criptomonete, sulla blockchain di diverse monete matematiche, con cenni alla bitcoin forensics e intelligence.

La giornata di corso su OSINT, fonti aperte e raccolta delle prove online sarà sia teorica sia pratica, con utilizzo di dispense che illustrano le modalità operative di ricerche online e alcuni esempi pratici di perizia informatica volta a raccogliere prove digitali a uso legale da siti web, profili Facebook con la possibilità d’includere anche prove ricavate da chat o gruppi Whatsapp o Facebook Messenger (molto spesso significative in ambito d’indagini su stalking, diffamazione).

I destinatari del corso sulle fonti aperte e la raccolta delle prove a fini legali che si terrà a Brescia sono Consulenti Informatici Forensi, Ingegneri, Investigatori Privati, Forze dell’Ordine, Avvocati, CTU, CTP, CT PM, Responsabili dei Sistemi Informativi, Responsabili di Sistemi di Pagamento, Responsabili di Progetti Internet/Intranet, Responsabili E-Commerce, Sistemisti e operatori del settore ICT, Giornalisti o appassionati di giornalismo investigativo, Responsabili della Sicurezza Informatica, Responsabili EDP e CED, Responsabili di Rete, Amministratori di Rete, Responsabili di Siti Web, Studenti Universitari, Consulenti Tecnici, appassionati di Cyber Crime, Informatici Forensi.

I prerequisiti del corso, con sede a Brescia, sono la conoscenza delle basi dell’informatica e del web, possono quindi partecipare sia tecnici sia informatici forensi con esperienza sia giornalisti con specializzazione in giornalismo investigativo, che spesso hanno la necessità non soltanto di eseguire ricerche e indagini online ma anche di cristallizzare e consolidare le prove trovate, per tutelarsi da eventuali responsabilità legate alle informazioni riportate nei loro scritti.

A tutti i partecipanti al corso su OSINT e raccolta delle prove dal web verrà rilasciata una pergamena con attestato di frequenza. La durata del corso è dalle 09:30 alle 17:30, con pausa pranzo e le lezioni si terranno in Via Cefalonia 70, a Brescia, presso lo Studio d’Ingegneria Informatica Forense.

Il programma di dettaglio del corso su OSINT, ricerche online e acquisizione delle prove da Internet è il seguente:

  • Introduzione all’OSINT e al giornalismo investigativo;
  • Le basi del web e dei motori di ricerca, metodi e strumenti per ricerche online;
  • Metodologie di raccolta e analisi da fonti aperte;
  • Strumenti principali di analisi (Maltego, Foca, script in python, etc…);
  • OSINT su siti web e CMS (WordPress, Joomla, etc…);
  • Ricerche su profili e social network (Facebook, Twitter, Linkedin, etc…);
  • Analisi di indirizzi di posta e numeri di telefono, anche cellulare;
  • Le basi dell’informatica forense e la metodologia di raccolta delle prove;
  • Principi di acquisizione delle evidenze digitali e catena di conservazione;
  • La raccolta di prove su web a fini legali per utilizzo in Tribunale;
  • Strumenti e metodologie di acquisizione forense di pagine e siti web;
  • Raccolta di contenuti dinamici o protetti da autenticazione;
  • Cristallizzazione, verifica e produzione in giudizio della prova.

Per informazioni o iscrizioni, fare riferimento alla pagina EventBrite del corso su OSINT e raccolta delle prove da Internet.

Dark Web al Salone dei Pagamenti 2018

Workshop su Deep e Dark Web al Salone dei Pagamenti

Giovedì 8 novembre, dalle ore 15:30 alle 16:30, parteciperò a Milano come relatore al Workshop sul deep web e dark web organizzato dal Salone dei Pagamenti, con la moderazione di el Giornalista Bancaforte Mattia Schieppati. Insieme a me interverranno due amici e ottimi professionisti, che non hanno bisogno di presentazione: Matteo Flora (CEO e Founder di The Fool) e Luca Bechelli (Information & Cyber Security Advisor di P4I).

Dark Web al Salone dei Pagamenti 2018

Il workshop, organizzato da ABI e e ABIServizi, tratterà del dark web, visto ancora come un “territorio nascosto” di cui si parla spesso solamente in relazione ad attività illegali come reati informatici o crimini finanziari, quotidianamente alla cronaca perché in diverse occasioni legato al mondo delle criptomonete come i bitcoin e dei ricatti virtuali perpetrati tramite i noti ransomware.

Il dark web è pero anche un “luogo” ad alto contenuto di competenze digitali e di coding, dove nascono tecnologie innovative che trovano applicazioni positive, come per esempio la blockchain, ma anche un’area da monitorare ad esempio tramite tecniche di OSINT per rilevare e prevenire attacchi, violazioni di proprietà intellettuale o furti di dati anche bancari. Come luogo sul quale si cercano e si trovano informazioni pubblicate e condivise da utenti è ormai oggetto, da parte di chi si occupa di perizie informatiche, di operazioni di accesso e cristallizzazione tramite tecniche d’informatica forense per la raccolta delle evidenze finalizzate, ad esempio, alla produzione in giudizio di prove a uso legale.

Che cosa succede, davvero, nel deep web? Chi sono gli attori che lo muovono? Quali le tecnologie più interessanti/innovative che ne costituiscono l’infrastruttura? Quali applicazioni positive possono avere le tecnologie che lo popolano? Il Salone dei Pagamenti, con il workshop Bancaforte “Deep web, good web?” che si terrà a Milano, propone un viaggio – attento, ma senza pregiudizi – attraverso il lato oscuro del web, per presentare il potenziale di innovazione che sta nascendo al di fuori dei riflettori dei motori di ricerca.

Salone dei Pagamenti, Milano, 2018

La conferenza è gratuita, aperta a tutti e si terrà a Milano, presso il MICO MIlano COngressi, Ingresso Ala Nord, Via Gattamelata, 5. Per informazioni o iscrizioni è consigliabile visionare direttamente il sito del Salone dei Pagamenti cliccando sul banner qui sopra.

Download di Deft XVA Linux per Informatica Forense

DEFT XVA Virtual Machine disponibile per il download

Download di Deft XVA Linux per Informatica ForenseDEFT XVA, la tanto attesa versione X della piattaforma di analisi forense e investigazioni digitali DEFT Linux è disponibile per il download, sotto forma di disco virtuale importabile su VMWare o VirtualBox e contenente strumenti per attività di analisi forense in ambito d’informatica forense e indagini digitali.

Basata su Ubuntu Mate 18.04, con il kernel in versione 4.15.0-36-generic, DEFT Linux X contiene una raccolta di tool free ed open source per l’analisi forense e indagini digitali, che vanno dall’estrazione artefatti, mount, data recovery, network forensics, hashing, OSINT, Imaging, password recovery, picture forensics, live forensics, malware analysis, timeline, virtual forensics, mobile forensics, wipe, mount manager e per concludere Autopsy.

DEFT XVA Distribuzione Forense Linux

 

DEFT XVA, ultima piattaforma della suite DEFT Linux, componente strategica di ogni consulente informatico forense, non viene avviata con utente root autenticato sul sistema ma con lo user “investigator”, la cui password di default è “investigator”. In ambito di perizia informatica forense, una distribuzione come DEFT Linux può essere utile per eseguire attività di analisi forense delle evidenze e produrre una relazione tecnica contenente le risultanze della propria attività d’indagine digitale sui dati ottenuti tramite copia forense, eseguita ad esempio tramite la versione ridotta della piattaforma DEFT, chiamata DEFT Zero e disponibile da settembre nella versine 2018.2.

Su DEFT XVA, per montare in lettura o scrittura dispositivi di archiviazione di massa (hard disk, pendrive, schede di memoria, etc…) sono disponibili sia l’interfaccia grafica di mount manager, sia i comandi “wrtblk” e “wrtblk-disable” già presenti da anni sulla piattaforma DEFT Zero.

DEFT XVA mount manager per montare dischi in read only o scrittura

Si ricorda infatti che DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.

DEFT Zero file manager per montare i dischi in read only

Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).

Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.

I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:

  • blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
  • blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.

Il download della virtual appliance DEFT X può essere eseguito gratuitamente tramite il mirror GARR (spesso non funzionante) oppure tramite la piattaforma di file sharing Mega. Purtroppo la dimensione del file contenente la VA è notevole, il file compresso “DeftXva.1.zip” che si scarica dal mirror GARR e da Mega occupa ben 13 GB e contiene un disco virtuale VMDK da 36 GB.

L’archivio ZIP “DeftXva.1.zip” che si ottiene al seguito del download contenente la macchina virtuale DEFT XVA produce i seguenti valori hash:

  • MD5: 1ccb2b3e5934712805f572848647e53c
  • SHA1: a07fec3990614bef8672ed27112c15c9a3dba35d
  • SHA256: 291f0a8fd1c3552fbf51cd826779c541e29650dd7e65038e9f2cd1eb63ac60cd

Il file “Deft X, va-disk1.vmdk” contenuto all’interno dell’archivio “DeftXva.1.zip” in download possiede i seguenti valori hash:

  • MD5: 54ad69a107a262046a7881856186f2e7
  • SHA1: 9d188848111c48a0a19cb82677d1e6374de3b08c
  • SHA256: dd3e76f25051bacf88cfa75f2596e915df79ce4f4a87564683d1c6c202db65c3

Al suo interno è contenuto un disco virtuale VMDK, che è necessario importare in una macchina virtuale creata, ad esempio, tramite VMWare oppure VirtualBox.

Conferenza ONIF a Bologna sulla rilevanza dell'informatico forense

Convegno sulla Rilevanza dell’Esperto Informatico Forense a Bologna

Conferenza ONIF a Bologna sulla rilevanza dell'informatico forenseCome ogni anno, ONIF – l’Osservatorio Nazionale sull’Informatica Forense – propone una conferenza aperta ai soci e al pubblico dedicata a diffondere i temi legati alla digital forensics. Il 25 maggio 2018 alle ore 09:00, si terrà presso la Sala Armi della Scuola di Giurisprudenza in Via Zamboni 22 a Bologna la conferenza intitolata “La rilevanza dell’esperto informatico forense sulla qualità dell’informazione giudiziale“, con la collaborazione di Alma Mater Studiorum, Università di Bologna, CIRSFID.

L’evento sull’informatica forense è coordinato dal Prof. Cesare Maioli, CIRSFID – Università di Bologna, il comitato scientifico è composto da Carla Faralli, Raffaella Brighi, Michele Ferrazzano, Antonio Gammarota e Cesare Maioli. La partecipazione all’evento è libera e gratuita ma la capienza dell’aula impone la necessità di prenotazione, da effettuarsi tramite il sito EventBrite. Per maggiori informazioni, s’invita coloro che fossero interessati a scrivere all’indirizzo dell’associazione ONIF su [email protected].

Il programma del convegno sulla rilevanza dell’esperto informatico forense è il seguente:

Saluti

Michele Caianiello, Direttore del DSG – Università di Bologna
Carla Faralli, Direttrice del CIRSFID – Università di Bologna
Giovanni Sartor, CIRSFID – Università di Bologna

Presentazione dell’associazione ONIF

Paolo Reale, Presidente ONIF

Coordina

Cesare Maioli, CIRSFID – Università di Bologna

Informatica forense e OSINT su blockchain e cryptovalute

Paolo dal Checco, Scuola Universitaria Interdipartimentale in Scienze Strategiche (SUISS) – Università di Torino

Il Consulente Tecnico informatico: ruolo, diritti, doveri, compensi

Antonio Gammarota, CIRSFID – Università di Bologna

Best/mal practice e informatica forense: gli effetti su indagini e processi

Nanni Bassetti, ONIF

Data breach e GDPR: l’importanza della forensic readiness e dell’incident response

Alessandro Fiorenzi, ONIF

Tavola rotonda e discussione con i partecipanti

Coordinano Raffaella Brighi, CIRSFID – Università di Bologna – e Michele Ferrazzano, Università di Modena e Reggio Emilia

La locandina dell’evento ONIF 2018 a Bologna sulla rilevanza dell’esperto informatico forense è disponibile per il download a questo link.

Call for Papers per HackInBo 2018 a Bologna

Call for Papers per HackInBo 2018

Anche per questa decima edizione di maggio 2018, la conferenza sulla sicurezza HackInBo che si tiene a Bologna ormai da quattro anni apre agli interventi proposti direttamente da ricercatori, esperti o anche soltanto appassionati tramite la Call for Papers, disponibile dal 1 gennaio 2018 sul sito HackInBo.

Call for Papers per HackInBo 2018 a Bologna

La commissione – di cui sono orgoglioso di fare parte – che valuterà le proposte di talk è composta da amici e professionisti che operano nell’ambito della sicurezza e dell’informatica forense: Stefano Zanero, Andrea Barisani, Igor ‘koba’ Falcomatà, Paolo Dal Checco, Mattia Epifani e Gianluca Varisco.

Gli argomenti sui quali si possono proporre gli interventi per la conferenza HackInBo che si terrà a Bologna nel 2018 sono i seguenti, ma possono essere ampliati a piacere se il talk è interessante:

  • Web Application
  • IoT
  • Malware Analysis
  • Sicurezza
  • Penetration Testing
  • Hacking
  • Digital Forensics
  • Phishing
  • Reverse Engineering
  • Crittografia
  • Sicurezza dei dispositivi mobili
  • Networking
  • Automotive
  • Informatica Giuridica
  • Social Engineering
  • OSINT
  • Criptomonete (Bitcoin, Ethereum, Monero, ZCash, Blockchain, etc…)
  • Critical Infrastructure
  • Altri argomenti

Gli interventi saranno selezionati sulla base dei seguenti criteri preferenziali:

  • Gli interventi aventi carattere innovativo o inedito avranno la priorità;
  • Per l’evento di maggio 2018 avranno priorità le proposte di seminario abbinate alla disponibilità del relatore a preparare una sessione di laboratorio;
  • Non saranno presi in considerazione, nel modo più assoluto, interventi mirati alla promozione di tecnologie vendor-specific, di servizi commerciali ed affini;
  • Completezza della proposta e delle informazioni di accompagnamento;
  • Esperienza del relatore;
  • Partecipazioni ad altri eventi riguardanti la sicurezza delle informazioni costituiranno titolo di preferenza.

La Call for Papers per l’evento HackInBo di maggio 2018 a Bologna aprirà il 1 Gennaio 2018 e i partecipanti avranno la possibilità di proporre i loro interventi fino alla scadenza del 31 marzo 2018. Antro il 7 Aprile 2018 verrà loro confermata eventuale accettazione e partecipazione come relatori ufficiali all’evento, la cui data esatta sarà comunicata al più presto.

Ricordiamo che HackInBo è una delle principali conferenze sulla sicurezza informatica disponibili in Italia, organizzata dall’amico Mario Anglani con la collaborazione di uno staff affiatato e ormai piuttosto efficiente. Nell’ultima edizione sono stati sfiorati i 500 partecipanti, i posti disponibili si esauriscono in poche ore e le liste di attesa contano di centinaia di persone pronte ad attendere un posto libero anche il giorno prima dell’evento.

HackInBo, la conferenza sulla Sicurezza Informatica di Bologna

La conferenza HackInBo di Bologna non ha fini di lucro, è gestita da volontari che accettano di buon grado sponsor commerciali con il solo intento di poter finanziare le spese necessarie per gestire l’evento e non è guidata da fini di propaganda o marketing, puntando invece sul software libero, la condivisione della conoscenza, la passione per la tecnologia e, perché no, l’amicizia e il rispetto che lega ormai da anni coloro che si sono affezionati all’evento e non possono farne a meno. 😉