Archivi tag: perizie informatiche

DEFT Zero v 2017.1 stable è disponibile per il download

DEFT Zero - DownloadIndispensabile per acquisizioni forensi di hard disk, pendrive, schede di memoria e supporti ottici, una delle suite di computer forensics più utilizzate dagli operatori del settore, DEFT Zero è stata aggiornata alla versione 2017.1 stable, dopo un periodo di test che ha permesso al DEFT Team e agli utilizzatori di consolidarne la sicurezza e l’affidabilità.

DEFT Zero è una versione light della distribuzione forense DEFT dedicata espressamente all’acquisizione di immagini forensi delle memorie di massa, utilizzata in ambito di perizia informatica da consulenti informatici forensi di tutto il mondo, con il numero indispensabile di tool di acquisizione e preview nello spazio ridotto di 500MB, tale da poter essere riversato su un CDROM o su una pendrive USB e poter essere caricato direttamente in RAM.

La distro live DEFT Zero in versione Stable 2017.1 si può scaricare liberamente in formato ISO da questo link e utilizzre liberamente, essendo composta da tutto software open source dedicato alla digital forensics.

DEFT Zero - Scaricare ISO in Download diretto

Tra le maggiori novità della versione 2017.1 di DEFT Zero troviamo:

  • supporto alle memorie SSD NVMExpress presenti nei Macbook Apple edizione 2015 e successive;
  • supporto per le memorie SSD eMMC presenti in notebook come i nuovi DELL XPS 13 o XPS 15;
  • supporto UEFI per poter avviare il sistema Linux su BIOS con UEFI;
  • aggiornamento librerie e tool di acquisizione forense.

Dato che ormai difficilmente si utilizzano supporti ottici come CDROM o DVDROM per distribuzioni live da utilizzare nell’ambito delle perizie informatiche forensi, si consiglia riversare DEFT Zero su di una pendrive USB, con dimensione almeno 512MB.

Riversare DEFT Zero su pendrive USB o CDROM

Per la creazione di una chiavetta USB per fare boot con DEFT 0 Linux è possibile utilizzare i seguenti strumenti:

Sul sito DEFT è possibile scaricare in download il manuale d’uso in PDF di DEFT Zero stable in italiano e in inglese.

Al link seguente potete trovare l’elenco dei pacchetti installati su DEFT Zero 2017.1 Stable.

Risultati del sondaggio ONIF sull’Informatico Forense

Questionario sulla figura del Consulente Informatico ForenseSono stati pubblicati i risultati dell’elaborazione dei dati acquisiti grazie al sondaggio anonimo realizzato dall’Associazione ONIF circa la figura professionale dell’informatico forense, predisposto al fine di consentire di conoscere meglio il contesto e le modalità con cui e in cui opera chi svolge il mestiere di Consulente Informatico Forense  in Italia.

L’elaborazione dei risultati della sua compilazione, terminata il 31 dicembre 2015, ha richiesto del tempo ma i risultati sono davvero interessanti e sulla linea di quelli già ricavati a suo tempo dall’Associazione IISFA a livello nazionale e dalla SANS a livello internazionale. La figura del Consulente d’Informatica Forense ha ancora dei tratti incerti e da definire, a causa anche di carenze legislative e di regolamentazione che fanno sì che le conoscenze, i prezzi, la preparazione, i titoli, la professionalità, gli strumenti, l’esperienza possano variare in modo ancora sostanziale da consulente a consulente.

Il sondaggio ONIF è interamente dedicato alla professione dei Consulenti Informatici Forensi, coloro quindi che operano come attività prevalente nell’ambito delle perizie informatiche forensi come CTP, CTU, CT del PM o Perito del Giudice, anche in ambito stragiudiziale.

Come si può notare, le domande proposte sono state incentrate su tutti gli aspetti correlati all’attività di perito informatico: la formazione personale, l’aggiornamento professionale, l’ambito in cui si opera, le attrezzature di lavoro, la composizione dei compensi, i prezzi delle analisi informatiche forensi, le attività di divulgazione.

I risultati dell’analisi dei dati ricavati dal sondaggio sulla figura del perito informatico forense sono stati suddivisi in una presentazione, nel rapporto completo e in un riassunto per i giornalisti, visionabili pubblicamente ai seguenti link e disponibili per il download in PDF:

 

Corso di Computer Forensics e Indagini Digitali a Torino

Per chi fosse interessato alla computer forensics e digital forensics, durante i giorni di venerdì 14, 21, 28 Ottobre e venerdì 4 Novembre 2016 si terrà il corso sulle attività d’informatica forense e investigazioni digitali.

Corso di Computer Forensics a Torino

Il corso di digital forensics su informatica forense e indagini digitali che si terrà a Torino tra ottobre e novembre 2016 fornirà agli allievi le conoscenze principali dell’informatica forense, mettendo in evidenza sia gli aspetti tecnologici che quelli giuridici attinenti alla prova digitale in ambito d’informatica forense, elementi necessari per le attività di perizia informatica svolta dai consulenti informatici forensi. Durante il corso verrà  illustrato l’utilizzo dei sistemi DEFT e DART, utilizzati quotidianamente da Consulenti Tecnici Forensi e Forze dell’Ordine, per attività digital forensics e incident response su computer e dispositivi mobili.

Si partirà dalle basi della digital forensics, analizzando le metodologie di base impiegate dagli operatori per attività di recupero dati o ricostruzione delle attività svolte sul PC, fino ad arrivare ad illustrare le più sofisticate tecniche di acquisizione forense di evidenze digitali e recupero dati da cellulari, smartphone e tablet mediante sistemi di mobile forensics, oltre che acquisizione e analisi del traffico di rete tramite tecniche di network forensics. Seguiranno nozioni sulle tecniche di analisi, elaborazione, reportistica e relazione tecnica che fanno parte di un corretto processo di perizia informatica prodotta da consulenti informatici forensi specializzati in informatica forense.

Il corso sull’informatica forense e investigazioni digitali che si terrà a Torino è articolato in 4 giornate sia teoriche sia pratico operative sulla digital forensics, con l’ultima giornata che sarà effettuata presso un vero laboratorio d’informatica forense permettendo un approccio strettamente procedurale.

Il dettaglio del programma del corso di Computer Forensics e Acquisizione/Analisi della Prova Digitale è il seguente:

Giorno 1

  • Introduzione alle problematiche di computer forensics
  • Le fasi dell’accertamento forense su dati digitali
  • Princìpi, preparazione, precauzioni e utilizzo dei sistemi live
  • Introduzione al sistema DEFT e DART
  • Utilizzo di DEFT con i principali OS e filesystem
  • Tipologie di acquisizione forense e formati
  • Attività di preview e triage sicuro con DEFT
  • Acquisizione di memorie di massa
  • Acquisizione di memoria volatile
  • Cenni su acquisizione di smartphone

Giorno 2

  • Verifica e apertura delle immagini forensi
  • Virtualizzazione delle immagini
  • Recupero dei dati cancellati
  • Analisi dei metadati
  • Ricostruzione delle attività tramite timeline e supertimeline
  • Rilevamento di compromissioni
  • Analisi delle periferiche USB utilizzate
  • Analisi dei documenti aperti e utilizzati
  • Estrazione di evidenze tramite Bulk Extractor e Autopsy

Giorno 3

  • Riepilogo su metodologie e strumenti di acquisizione
  • Acquisizione di memorie di massa via rete
  • Acquisizione di dispositivi iOS
  • Acquisizione di dispositivi Android
  • Analisi di file pList e database SQLite

Giorno 4

  • Introduzione a DART
  • Panoramica degli strumenti presenti in DART
  • Utilizzo di DART in DEFT
  • Incident response
  • Cracking di password e creazione di dizionari
  • Network forensics
  • Gestione di un incidente informatico
  • Riepilogo degli argomenti

Per informazioni sui costi, sconti di pre-iscrizione, contatti o registrazione al corso di digital forensics e informatica forense, per l’edizione in corso e quelle successive, potete contattare lo Studio agli indirizzi indicati nella pagina contatti.

Sblocco PIN su Apple iOS 9.x 32bit e Samsung Galaxy S6 e S7

Sblocco PIN di iPhone e Android tramite CellebriteDue importanti novità nel campo della mobile forensics: la società israeliana Cellebrite ha recentemente aggiornato il suo servizio CAIS con la funzione di sblocco PIN e acquisizione fisica dei dispositivi Apple con processore a 32 bit senza secure enclave e iOS 9.x, fino a pochi giorni fa impossibili da sbloccare poiché il servizio era disponibile soltanto per gli iPhone/iPad/iPod con versione Apple iOS 8.x.

Ccellebrite CAIS Unlocking ServicesLa funzionalità di sblocco PIN di iPhone e Samsung Android non è stata inserita nei prodotti Cellebrite come UFED ma viene fornita dalla casa produttrice tramite contatto diretto mediante il loro modulo per Cellebrite CAIS Unlocking Services e a pagamento.

I dettagli e le modalità di esecuzione del servizio CAIS vengono forniti su richiesta, sappiamo però che in passato Cellebrite ha fornito assistenza anche all’Autorità Giudiziaria italiana a seguito di consegna a mano dell’iPhone presso la loro sede in Germania poiché il dispositivo da sbloccare possedeva processore A6 a 32 bit senza il sistema secure enclave.

La modalità di acquisizione fisica di un dispositivo mobile indica la possibilità di estrarre l’intero contenuto della memoria flash, tramite una “copia forense” bit-to-bit di tutte le aree, allocate e non, incluse quelle precluse al Sistema Operativo o quelle in cui sono presenti dati cancellati ma non ancora sovrascritti. Ciò permette, in alcuni casi, di eseguire il recupero dati cancellati da smartphone o accedere ad aree di memoria ove sono presenti dati rilevanti per le indagini che l’acquisizione logical o filesystem non riescono a raggiungere. Nell’ambito delle perizie informatiche su cellulare e smartphone, è certamente un elemento strategico poter disporre di una copia fisica del dispositivo e di dati fino a oggi inaccessibili se non tramite rooting o jailbreaking.

Cellebrite dichiara nel suo comunicato online [WBM], sulla brochure del servizio CAIS del 15 luglio [WBM] (dove dichiara “Galaxy S7“) e in quella del 20 luglio [WBM] (dove ha precisa “some Galaxy S7 devices“) di essere la prima società a fornire una “estrazione fisica con decifratura” di alcuni dispositivi iPhone (iOS) e Samsung (Android):

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2);
  • Samsung Galaxy S6, Galaxy Note 5 e alcuni dispositivi Galaxy S7 con qualunque versione di Android fino alla Marshmallow 6.0.1 inclusa.

Sembra quindi che sia ancora impossibile lo sblocco di PIN e la physical acquisition di smartphone con processore a 64 bit come l’iPhone 5s, iPhone 6, iPhone 6 plus, iPhone 6s, iPhone 6s plus oppure iPad Air, ipad Air 2, iPad Mini 2, iPad Mini 3, iPad Mini 4.

In particolare, il servizio permette di sbloccare dispositivi iPhone o Samsung protetti da PIN e acquisire in maniera forense il contenuto senza la necessità di eseguire rooting o jailbreak al fine di accedere al’intero filesystem per recuperare email scaricate, dati di applicazioni di terze parti, dati di geolocalizzazione o log di sistema.

Ciò che viene estratto dalla copia fisica dell’iPhone può poi integrare quanto già fino a oggi estraibile tramite il Cellebrite UFED Physical Analyzer, cioè:

  • Dati decodificati: Elenco chiamate, voicemail, contatti, localizzazioni geografiche (WiFi, celle e fix GPS), immagini, video, messaggi di testo SMS, MMS, email, note, applicazioni installate e loro utilizzo, dizionario utente, calendario/agenda, storia dei pairing con dispositivi bluetooth, cache delle mappe;
  • Applicazioni: Skype, Whatsapp, Viber, Fring, MotionX, AIM, TigerText, Facebook Messenger, Twitterrific, Textfree, Google+, Facebook, Foursquare, Garmin, TomTom, Waze, TextNow, Dropbox, Yahoo Messenger, Ping Chat, Twitter, Touch (new ping chat), Find My iPhone, LinkedIn, iCQ, Kik Messenger, Google Maps, Kakaotalk, QIP, Evernote, Vkontakte, Mail.ru
  • Dati di navigazione web: Safari, Opera Mini – bookmark, history e cookies

La tabella di supporto per il recupero dati e lo sblocco del PIN di dispositivi Apple con Sistema Operativo iOS come iPhone, iPad e iPod del software UFED Physical Analyzer è la seguente:

Supporto iPhone iOS di Cellebrite UFED Physical Analyzer

Ricordiamo infine che la società israeliana Cellebrite era tra quelle che si riteneva potessero avere contribuito allo sblocco dell’iPhone di Farook durante le indagini per la strage di San Bernardino e i telefoni per i quali è disponibile il servizio CAIS comprendono anche il modello utilizzato dall’autore della strage Farook, un iPhone 5C con processore a 32 bit e iOS 9.x.

Per approfondimenti sul sistema di protezione dati di Apple iOS, il secure enclave, il boot process e tutto ciò che concerne la sicurezza dei dispositivi iOS consigliamo la lettura della iOS Security Guide ufficiale di Apple [WBM] mentre per una schematizzazione dei dispositivi Apple organizzata per processore, versione iOS e caratteristiche hardware e software consigliamo la pagina Wikipedia sui dispositivi iOS [WBM].

iPhone Forensics Days presso l’Università di Milano

iPhone Forensics DaysMartedì 24 e mercoledì 25 maggio 2016 si terranno presso l’Università degli Studi di Milano due giornate di full immersion sull’iPhone Forensics. Grazie alla partecipazione di tecnici e giuristi, verranno presentate e discusse le problematiche legate all’accesso, estrazione, acquisizione locale e remota da dispositivi Apple iOS come iPhone e iPad e il recupero dati dai backup realizzati su PC o su iCloud. Si parlerà anche di trojan/captatori e di confronti con gli altri Sistemi Operativi come Windows Phone e Android. Le due giornate sono a ingresso libero e gratuito, senza necessità d’iscrizione, si precisa che non saranno concessi crediti formativi.

Abstract

Il dibattito politico e la “guerra giudiziaria” generati dal ritrovamento di un iPhone di un terrorista durante le indagini correlate alla strage di S. Bernardino negli Stati Uniti d’America, e la successiva richiesta legale ad Apple di violare il sistema operativo al fine di poter permettere le indagini sul dispositivo bloccato, hanno reso d’attualità il problema della protezione crittografica dei dispositivi personali e delle comunicazioni in generale. Qual è il reale livello di protezione e di privacy oggi? Dove si colloca il delicato equilibrio tra libertà e sicurezza, tra privacy e potere investigativo dell’autorità, tra esigenze di controllo ed esigenze di libertà del cittadino nell’utilizzo dei suoi strumenti informatici quotidiani? Quali sono i metodi migliori per trattare, a livello investigativo, un dispositivo complesso quale l’iPhone, nelle sue differenti versioni?

Programma

Le due giornate affronteranno tematiche ben distinte, con un approccio originale.

La prima giornata si terrà martedì 24 maggio, dalle ore 10:00 alle 18:00 presso la Sala Crociera in Via Festa del Perdono n. 7 a Milano e sarà orientata alle questioni tecniche, con dimostrazioni pratiche di metodologie, software di acquisizione e recupero dati da cellulare e strumenti di mobile forensics utilizzati dai consulenti tecnici nell’ambito della perizia informatica sugli smartphone. I tecnici analizzeranno la tecnologia alla base dell’iPhone mostrando i sistemi di protezione dei dati, le modalità migliori per effettuare investigazioni e l’acquisizione del contenuto degli smartphone, inclusi i backup realizzati su PC o su iCloud, i problemi pratici che possono occorrere durante le indagini e le perizie tecniche forensi, le possibilità di violazione dei sistemi di sicurezza del telefono e del Cloud.

La seconda giornata si terrà mercoledì 25 maggio, dalle ore 10:00 alle 18:00 presso la Sala Napoleonica in Via S. Antonio n. 10 s Milano e sarà orientata alle questioni politiche e giuridiche legate all’accesso ai dati e lo sblocco dei dispositivi protetti da PIN. I giuristi affronteranno, in senso lato, il problema delle crypto wars e del rapporto tra l’azione dell’autorità giudiziaria e la protezione fornita oggi dalle tecnologie più comuni.

Relatori

Raffaele Zallone, Giovanni Ziccardi, Pierluigi Perri, Stefano Zanero, Mattia Epifani, Matteo Flora, Andrea Ghirardini, Paolo Dal Checco, Stefano Sutti, Giuseppe Vaciago, Gerardo Costabile, Davide Gabrini, Litiano Piccin, Giovanni Battista Gallus, Matteo Giacomo Jori, Stefano Mele, Giuseppe Nicosia, Monica A. Senor.

Locandina

E’ possibile scaricare la locandina PDF delle due giornate dedicate all’iPhone Forensics.