Archivi tag: roma

Indagine Conoscitiva in Senato sulle Intercettazioni

Questa mattina ho tenuto a Roma una audizione sul tema delle intercettazioni per la 2a Commissione Giustizia del Senato della Repubblica, nell’ambito dell’Indagine Conoscitiva promossa a dicembre dello scorso anno. Nella stessa mattinata sono stati auditi – sempre sul tema delle intercettazioni – anche Carlo Bartoli, Presidente del Consiglio Nazionale Ordine dei Giornalisti, Bruno Azzolini, Presidente Sezione GIP Tribunale di Roma e Giorgio Spangher, Professore Ordinario di Procedura Penale presso La Sapienza di Roma.

Il mio intervento ha seguito, ad alcuni giorni di distanza, quello del collega Ing. Paolo Reale e – per focalizzare l’attenzione su aspetti tecnici non banali – ho ripreso le importanti questioni da lui sollevate, cercando di chiarirle ulteriormente anche con esempi e spunti di riflessione. Il punto centrale dell’interesse era ovviamente quello dei captatori, programmi equiparabili a malware per la tipologia di comportamento spesso definiti anche trojan di Stato, che rispetto ai mezzi delle intercettazioni tradizionali godono ancora di un alone d’incertezza che si ripercuote, ovviamente, anche sugli aspetti legislativi.

Paolo Dal Checco - Audizione al Senato in Commissione Giustizia sui Captatori

Riprendendo i temi trattati dal Collega Ing. Reale, che ha ben chiarito le ampie potenzialità di questi software che hanno un comportamento simile ai malware, nel mio intervento ho cercato di portare avanti il discorso e ragionare – in base anche alle questioni poste dai Senatori durante la scorsa audizione – su come limitare, controllare, regolamentare (dal punto di vista tecnico, in questo caso) i captatori.

Importante capire il motivo per il quale i captatori sono così rilevanti nell’ambito di alcuni tipi d’indagine, al punto da fornire apporto investigativo enormemente più strategico rispetto alle intercettazioni tradizionali (telefoniche, telematiche, SMS, email, etc…).

La questione principale che li rende così importanti è legata alla protezione dei dati, in particolare alla cifratura, che viene ormai applicata ovunque. I nostri telefoni, i PC portatili, le chat che scambiamo con i nostri contatti, i siti che visitiamo, le telefonate normali ma anche quelle cosiddette “VoIP” (cioè per le quali si utilizza la rete Internet), l’accesso alla posta elettronica e ormai anche alcune mailbox sui mail server presso i provider: è tutto cifrato, cioè i dati viaggiano e vengono salvati sui dispositivi in modo che senza l’opportuna chiave non possano essere decifrate e non sempre la chiave è disponibile o si può ottenere con tecniche di forzatura delle password.

Risulta essenziale limitare, dal punto di vista tecnico, i captatori in modo che possa essere regolamentato oggettivamente:

  • cosa devono fare, oltre che dove e quando devono operare (problema che con le intercettazioni tradizionali è meno rilevante: quelle telefoniche registrano telefonate, un tracker GPS la posizione, etc…);
  • chi può avere accesso ai dati captati (problema rilevante e in parte comune con le intercettazioni tradizionali ma che in questo caso è maggiormente sentito).

Per regolamentare questi aspetti, diventa strategica la “certificazione” di cui il collega ha parlato nel suo intervento di giovedì scorso, unita a un “tavolo tecnico” che dovrebbe gestire tali accreditamenti e certificazioni. L’idea è quella di autorizzare “programmi” solo se sono stati prima oggetto di esame, banalmente verificando cosa fanno e chi può poi utilizzare i dati intercettati.

Ovviamente dal punto di vista teorico sembra semplice, ma a realizzarle un tale controllo preventivo dei captatori si rischia di bloccare l’intero processo. Il tempo scorre velocemente nel mondo della sicurezza informatica, un dispositivo sul quale si riesce a installare e far funzionare un malware può non essere più compatibile dopo pochi giorni o settimane, perché ad esempio può essere nel frattempo aggiornato il sistema operativo e il “trucco” utilizzato per “bucare” il sistema non funzionare più.

Altra problematica da affrontare, il fatto che una volta certificato un programma, non dovrebbe essere modificato e dovremmo essere sicuri che ciò che è stato caricato sul dispositivo da intercettare sia proprio il software certificato

Resta poi da capire come garantire che il sistema abbia funzionato come doveva, che abbia captato solo ciò che era stato impostato per captare, quando e dove (posizioni GPS, colloqui con legale, etc…). In sostanza, è essenziale essere certi che nessuno abbia visionato i dati captati in modo abusivo: per poter ottenere questo tipo di garanzia entrano in gioco tracciamento immodificabile e con data certa degli eventi e le tecniche di archiviazione sicura e condivisa di segreti.

Per il tracciamento immodificabile degli eventi, i sistemi devono documentare tutto ciò che avviene in modo che non possa essere tolto, modificato o aggiunto un pezzetto: qui può venire in soccorso il concetto di blockchain, cioè di catena di elementi informativi legati tra loro: tra l’altro si potrebbe fare uso anche delle varie blockchain attualmente in uso per legare i dati a una data specifica (questo per dimostrare che i dati non sono stati alterati, quantomeno ex post). Ovviamente il tracciamento va mantenuto anche sulle attività di visione del materiale captato, oltre a quelle di captazione, così da coprire a 360 gradi il processo e garantire dall’inizio alla fine il ciclo di apprensione e visione dei dati.

Per l’archiviazione sicura, l’idea è di fare in modo che i dati intercettati finiscano in un “contenitore” che soltanto chi è autorizzato possa aprire, se possibile anche impostando combinazioni di profili (es. un PM insieme a un Agente di PG e un Cancelliere).

La tecnologia ci permette di condividere matematicamente un segreto, in modo simile a come potremmo costruire fisicamente uno scrigno che richieda l’utilizzo di più chiavi in contemporanea per essere aperto. Esistono diversi modi per ottenere questo risultato: la mia tesi di dottorato, dal titolo “Security, privacy and authentication in shared access to restricted data“, verteva proprio su uno di questi protocolli, chiamato “Secret Sharing”, ideato dal Prof. Shamir e ideale per schemi di condivisione di segreti in contesti quali l’accesso alle intercettazioni che deve essere regolamentato in modo preciso e robusto.

Nel corso dell’intervento – visionabile integralmente nel link riportato qui sotto – ho cercato di affrontare questi temi, semplificandoli il più possibile e fornendo spunti di riflessione, elementi tecnici e possibili scenari che ritengo d’interesse tecnico per la questione specifica.

Ultimo spunto, certamente avvenieristico e da valutare con cura ma non scartare a priori, è quello di prendere in considerazione l’intelligenza artificiale per poter prendere decisioni in tempi rapidi, fare valutazioni su scenari, posizioni, attività in corso e guidare il sistema nel gestire le situazioni nel modo ottimale. Modelli come OpenAI si stanno dimostrando eccellenti in alcuni contesti specifici e sembrano in evoluzione rapida al punto che tra un paio di anni potranno fornire un apporto in diversi scenari.

Paolo Dal Checco - Audizione al Senato in Commissione Giustizia sulle Intercettazioni

I Senatori hanno manifestato vivo interesse circa i captatori con domande e osservazioni anche dopo la breve audizione, il che mi fa ritenere che che questi interventi e quelli che seguiranno potranno fornire validi elementi a supporto di chi deve ascoltare e comprendere il contributo tecnico degli esperti così da poterlo utilizzare per formulare leggi e riforme che permettano lo svolgimento delle indagini nel rispetto della Giustizia e della vita privata delle persone.

Ho, tra l’altro, ribadito la disponibilità dell’Osservatorio Nazionale d’Informatica Forense (ONIF) a fornire il proprio contributo alle Istituzioni avendo ormai da anni messo insieme un gruppo di esperti in informatica forense che con passione dedicano del tempo per sensibilizzare e divulgare ai non addetti ai lavori metodologie, principi, limiti e modalità operative alla base della nostra professione.

Mi auguro di poter essere stato utile e che l’emozione non mi abbia fatto parlare troppo veloce… per chi ha qualche minuto da perdere, l’audizione è visibile sul sito del Senato al seguente link, il mio intervento è al minuto 01h:28m:04s.

Per chi volesse visionare anche l’intervento precedente, del collega Ing. Paolo Reale, sempre per la 2a Commissione Giustizia del Senato della Repubblica come parte del’Indagine Conoscitiva sulle Intercettazioni, può trovare il filmato integrale al seguente link.

Mobile Forensics per Università Europea di Roma

Oggi ho tenuto una lezione dal titolo “I profili storici ed evolutivi della mobile forensics” per l’Università Europea di Roma, nell’ambito del Master di I livello in “Intelligenza artificiale. Diritto ed etica delle tecnologie emergenti”. È stata una occasione , per la quale ringrazio l’Università Europea di Roma, di ripercorrere una decina di anni di storia e progressi dell’informatica forense applicata alle perizie su cellulari e poi su smartphone che ormai sono diventate uno degli elementi strategici delle attività d’indagine digitale.

Fa riflettere quanto l’evoluzione storica della mobile forensics – così si chiama la disciplina che si occupa di acquisire e analizzare le prove digitali presenti su smartphone e dispositivi mobili – abbia impattato sul lavoro degli informatici forensi e si rifletta nelle perizie informatiche redatte nel corso del tempo. Tutti i consulenti informatici forensi ricorderanno i periodi in cui le copie forensi erano sostituite da stampe prodotte da software di sincronizzazione con i dispositivi mobili, poi sono arrivati i primi strumenti “ufficiali”, in parte tanto si poteva fare anche con prodotti free od open source, poi è arrivata l’epoca degli exploit e dei bug da sfruttare per poter superare i limiti imposti dai produttori. Fino ad arrivare alle soluzioni commerciali, che oggi hanno un mercato di nicchia ma necessario per chi fa attività di perizia su smartphone, perché permettono di ottenere dati che altrimenti non sarebbe possibile acquisire.

Ci sono state epoche nelle quali l’acquisizione e le analisi delle prove informatiche presenti sui cellulari da parte del CTP Informatico procedeva tramite strumenti embrionali, con metodologie ancora da condividere con la comunità scientifica e dei consulenti forensi, problematiche d’integrità della prova, rischi di perdita di dati, tutte questioni che con gli anni sono andate consolidandosi.

Perizie su Smartphone e Mobile Forensics per Università Europea di Roma

Oggi qualunque CTU informatico conosce i princìpi su cui si basa la mobile forensics e sui quali si costruiscono le perizie informatiche su smartphone, dispositivi mobili ma anche hard disk, pendrive, PC oltre che tutto ciò che riguarda il cloud, la posta elettronica, il web. La lezione sui profili storici ed evolutivi della mobile forensics, tenuta per l’Università Europea di Roma, è stata quindi un’occasione di ragionare sui progressi fatti da tutti coloro che hanno dato il loro contributo a sviluppare la materia, ma anche delle nuove sfide e opportunità che sono emerse negli ultimi anni, con la cifratura, la protezione da PIN lock o biometrica, la quantità di modelli, marche e dispositivi sul mercato, i continui aggiornamenti di sistemi operativi e applicazioni mobili.

Infine, la docenza tenuta per il Master di I livello in “Intelligenza artificiale. Diritto ed etica delle tecnologie emergenti” è stata l’occasione per rispolverare il servizio delle Iene sul recupero dati da smartphone, al quale ho dato un piccolo contributo insieme a colleghi ed amici e il risultato è stato un servizio avvincente, dove la mobile forensics si è mescolata con tecniche di ricerca basate su OSINT, che hanno portato a risultati notevoli, in particolare vista la tecnologia disponibile al tempo e il tipo di dispositivi analizzati.

Ringrazio l’opportunità concessa dall’Università Europea di Roma e spero di poter contribuire nuovamente con attività di docenza a Master, Corsi di Laurea o Corsi di Perfezionamento in ambito d’informatica forense e indagini digitali.

MSAB Mobile Forensics Summit a Roma

Il 23 ottobre 2019, dalle ore 9.00 alle 18.00, presso l’Empire Hotel Palace in Via Aureliana, 39 a Roma si terrà il primo “MSAB Mobile Forensics Summit”, dove parteciperò in veste di relatore insieme a Davide “Rebus” Gabrini, Mattia Epifani, Pier Luca Toselli, Raoul Chiesa e Selene Giupponi.

MSAB Mobile Forensics Summit a Roma

Gli argomenti trattati nel corso della conferenza MSAB verteranno su digital e mobile forensics, cyber threat intelligence, sistemi biometrici, acquisizione forense di chat Whatsapp e Telegram, analisi forense di dispositivi iOS tramite sistemi di bug reporting oltre che d’indagini digitali e indagini tradizionali.

Il programma della conferenza MSAB sulla mobile forensics, che si terrà a Roma presso l’Empire Hotel Palace di Via Aureliana 39, è il seguente:

  • 08.15 – Registrazione
  • 09.00 – Opening (Sacha Bianchi)
  • 09.20 – Circonvenzione dei sistemi biometrici (Davide “Rebus” Gabrini)
  • 10.00 – First responder mobile forensics workflow (Sacha Bianchi)
  • 11.00 – Break
  • 11.30 – Utilizzo di Apple Bug Reporting per l’analisi forense di dispositivi iOS (Mattia Epifani)
  • 12.10 – Vehicle Forensics, tra tecnologia e diritto: dai veicoli connessi a quelli a guida autonoma (Gianfranco Gargiulo)
  • 13.00 – Pranzo
  • 14.00 – Acquisizione forense di chat Whatsapp e Telegram: stato dell’arte e soluzioni alternative (Paolo Dal Checco)
  • 14.40 – Estrazione e analisi, punti di forza del 2019 e visione del 2020 (Sacha Bianchi)
  • 15.40 – Break
  • 16.10 – Indagine digital forensics ed indagine tradizionale: sinergie, criticità e futuro. (Pier Luca Toselli)
  • 16.50 – Quando la Digital Forensics e la Cyber Threat Intelligence si incontrano (Raoul Chiesa & Selene Giupponi)
  • 17.30 – Closing (Sacha Bianchi)

L’ingresso al seminario sulla mobile forensics è gratuito, previa registrazione sul sito MSAB. Le registrazioni sono al momento chiuse ma per qualsiasi registrazione dell’ultimo minuto è possibile contattare direttamente Sacha Bianchi all’indirizzo [email protected].

Gli interventi dei relatori al seminario MSAB di Roma saranno così dettagliati:

DAVIDE “REBUS” GABRINI – Circonvenzione dei sistemi biometrici

Il riconoscimento biometrico è sempre più diffuso come metodo di sblocco dei dispositivi mobili: la praticità d’uso e l’ampia diffusione dei sensori anche in dispositivi economici invoglia gli utenti a usufruire della funzione. Nel tempo sono stati documentati diversi attacchi più o meno praticabili verso questi metodi di riconoscimento, che potrebbero aiutare gli investigatori ad accedere a dispositivi altrimenti impenetrabili.
La relazione descriverà il funzionamento dei diversi sensori biometrici, i principi su cui si basano gli attacchi, le possibilità reali della loro attuazione e gli interrogativi giuridici da risolvere.

MATTIA EPIFANI – Utilizzo di Apple Bug Reporting per l’analisi forense di dispositivi iOS

Apple mette a disposizione degli sviluppatori di applicazioni un sistema di reporting (Apple Bug Reporting) per l’individuazione di problemi legati all’utilizzo di servizi e API disponibili.
Per utilizzare Apple Bug Reporting lo sviluppatore deve raccogliere e trasmettere ad Apple dei file di diagnostica: tali file possono essere estratti da dispositivi con sistemi operativi iOS e contengono molte informazioni utili da un punto di vista dell’analisi forense.
Obiettivo della presentazione è quindi mostrare le metodologie per la generazione e l’acquisizione dei log di diagnostica e illustrare tecniche e strumenti per l’analisi.

PAOLO DAL CHECCO – Acquisizione forense di chat Whatsapp e Telegram: stato dell’arte e soluzioni alternative

Whatsapp e Telegram sono tra i canali di comunicazione più utilizzati sugli smartphone, almeno nel mondo occidentale, anche ovviamente per o durante la commissione di reati e illeciti. Spesso infatti l’acquisizione in ambito di perizia forense dei dispositivi mobili è finalizzata proprio ad acquisire tali artefatti, siano essi chat di testo o messaggi vocali tra due o più soggetti, gruppi o canali. Il problema è che, altrettanto spesso, i database cifrati e difficilmente accessibili rendono difficile estrarre i contenuti. Vedremo durante l’intervento alcuni dei principali ostacoli e possibili soluzioni e metodologie basate su tecniche e strumenti d’informatica forense per estrarre, in base al contesto e al dispositivo, quanto più possibile da queste due applicazioni e con il maggior valore probatorio.

PIER LUCA TOSELLI – Indagine digital forensics ed indagine tradizionale: sinergie, criticità e futuro.

La “sinergia” è definita come la reazione di due o più agenti
che lavorano insieme per produrre un risultato non ottenibile singolarmente.
Dopo aver definito brevemente cosa intendiamo con indagine digital forensics e tradizionale, con alcuni esempi, cercheremo di vedere se effettivamente oggi possiamo parlare di una “sinergia” tra questi due “agenti” oggi determinanti e strategici in ogni contesto investigativo. Lo faremo attraverso un “focus” sulle attività di indagine svolte dalla polizia giudiziaria e da tutte quelle figure che in qualità di ausiliari, specialisti, consulenti collaborano con quest’ultima e gli Organi Requirenti.
Rifletteremo poi, su quali siano le criticità che ancora permangono, nell’intento di fornire agli operatori un momento di riflessione che possa portare in futuro alla soluzione delle stesse e al superamento di quelle difficoltà “oggettive” che ancora oggi si frappongono all’ottenimento di un risultato “sinergico” ed “efficiente” tra le due tipologie di indagine.

RAOUL CHIESA & SELENE GIUPPONI – Quando la Digital Forensics e la Cyber Threat Intelligence si incontrano.

Questo intervento vuole fornire una attenta overview sul delicato mondo della CYBINT, con casi di studio reali. A questo i relatori hanno deciso di unire e presentare ai partecipanti un nuovo approccio investigativo ed operativo ai crimini digitali un nuovo approccio metodologico alle Digital Investigations, che vede l’unione di due approcci altamente complementari.

Sequestro di Bitcoin e Criptovalute per CEPOL a Roma

Questa settimana sarò relatore al Corso CEPOL a Roma su “Best practices for asset tracing, seizure and confiscation in the field of virtual currency” nel quale parlerò delle best practice, metodologie e strumenti per il sequestro di bitcoin e criptovalute in ambito penale e civile.

Corso su Sequestro di Bitcoin e Criptomonete per il CEPOL

Durante la lezione che terrò alla sede CEPOL di Roma durante il corso CEPOL “Asset Recovery and Confiscation” – organizzato dalla Guardia di Finanza e dalla Scuola di Polizia Economico Tributaria – parlerò delle problematiche legate al sequestro di criptovalute, portando esempi di sequestro di bitcoin, confisca di Ethereum e altre criptomonete come Dogecoin, Monero, Zcash, Litecoin.

CEPOL - Asset Recovery and Confiscation

Il corso “Asset Recovery and Confiscation” ha come descrizione, sul sito CEPOL, “The aim of the course is to enhance the ability to seize, freeze and confiscate assets of organised crime groups through financial investigations and to provide practical information about asset tracing, seizure, management and confiscation.” e come target audience “Criminal investigators and/or asset recovery specialists dealing with transnational organised crime.“.

Il sequestro di criptomonete è un argomento che di recente ha destato parecchio interesse per diverse vicende giudiziarie legate ad exchange, criminalità, spaccio di droga, fondi d’investimento, dark market, mixer e tumbler, contesti nei quali a seguito delle indagini è stato necessario procedere con il sequestro dei proventi delle attività illecite tramite confisca e sequestro delle criptomonete.

L’informatica forense ha un ruolo chiave anche nelle attività di sequestro e confisca di bitcoin e criptovalute svolta durante le indagini sulle criptomonete perché permette di seguire una metodologia di tracciamento delle attività, cristallizzazione delle operazioni svolte, wallet, indirizzi, acquisizione della prova digitale, separazione dei ruoli, verifica delle transazioni, verbalizzazione e catena di custodia necessarie per conferire validità alle operazioni di confisca delle cryptocurrencies.

La problematica del sequestro di asset digitali si ripercuote anche sul sequestro di wallet hardware, come Trezor, Ledger Nano o similari che contengono portafogli di criptomonete di diverso tipo, spesso protetti da PIN di autenticazione con vincolo di wipe del dispositivo in caso di troppi errori di digitazione ma backup di chiavi private, master key e mnemonic che possono permettere la rigenerazione del wallet su nuovi dispositivi oppure tramite software compatibili con i vari protocolli come BIP 32, 39, 44 o i vari sistemi di gestione di wallet gerarchici deterministici.

Cyber Crime Conference 2019 a Roma - Blockchain Security

Blockchain Security alla Cyber Crime Conference di Roma

Il 17 aprile sarò moderatore a Roma della tavola rotonda su un argomento molto attuale, la “blockchain security”, con il compito di coordinare gli interventi di esperti come Vincenzo Aguì, Chief Security Officer, il Prof. Francesco Buccafurri, Professore Ordinario di Sicurezza Informatica, Università Mediterranea di Reggio Calabria, il Col. Giovanni Reccia, Comandante del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza e l’Avv. Fulvio Sarzana, Avvocato e Professore Straordinario di Diritto Comparato delle Nuove Tecnologie (intelligenza artificiale, IoT e blockchain) presso Università telematica internazionale UniNettuno di Roma.

Cyber Crime Conference 2019 a Roma - Blockchain Security

L’argomento della tavola rotonda che si terrà a Roma è la sicurezza della blockchain, problematica spesso sottovalutata quando invece la blockchain viene troppo spesso considerata una potenziale soluzione per la gestione dei Big Data, delle votazioni online, degli strumenti finanziari, della Supply Chain, di contratti e persino di proprietà reali oltre che di “token” digitali.

La domanda che ci porremo durante la tavola rotonda è “quanto è veramente sicura questa tecnologia e quali soluzioni e protocolli possono poggiare solidamente su di essa?”.

Durante la tavola rotonda, sentiremo diverse opinioni e punti di vista autorevoli con i quali cercheremo di delineare le potenzialità e i limiti di quanto a oggi viene utilizzato come esempio di decentralizzazione, immutabilità e trasparenza fino a vedere nella blockchain come lo strumento ideale per gestire votazioni, tracciamento e persino proprietà immobiliari. Grazie a protocolli crittografici e distribuiti, la blockchain permette certamente di far interagire realtà diverse ed eterogenee che arrivano in accordo a generare un dato condiviso, ma il rischio che qualcosa sfugga al controllo è comunque dietro l’angolo ed è proprio ciò di cui parleremo durante gli interventi degli autorevoli ospiti che avrò l’onore di moderare a Roma durante la Cyber Crime Conference.

Le problematiche che verranno affrontate saranno quelle dei fattori legati alla sicurezza e dei potenziali attacchi che possono essere portati avanti nei confronti di registri distribuiti, di tracciamento, anonimato, privacy e data protection – in particolare nell’ottica del GDPR – ma anche di compromissione o furto dei dati, token o criptomonete. Gli aspetti di rischio infatti sono quelli che rendono a oggi aziende, governi e investitori ancora cauti nell’utilizzo sul campo delle tecnologie che sembrano però fortemente corteggiare e per le quali tutti auspicano non solo una regolamentazione giuridica ma anche una robustezza tecnologica.

In ultimo, si affronteranno le questioni legate alla cybersecurity, digital forensics e intelligence sulla blockchain che permettono da un lato di prevenire o rilevare attacchi e dall’altro di analizzare eventuali reati commessi per poterne delineare i contorni e potenzialmente ricondurli agli autori.

Per informazioni o iscrizioni, consigliamo di consultare il sito di ICT Security Magazine nella sezione dedicata alla Cyber Crime Conference 2019 a Roma.