Digital Forensics

HackInBo® Forensic Games, fase #3: l'indagine

Inviato da rebus il Sab, 12/08/2023 - 11:18

sblocco smartphoneProsegue la serie di post sui Forensic Games: eravamo rimasti alla fine del sopralluogo e ci apprestavamo ad affrontare la fase di indagine.

Indipendentemente da cosa le squadre fossero riuscite a raccogliere durante il sopralluogo informatico, con le operazioni di rilievo in live forensics o con la repertazione fisica, a tutti sono state fornite le medesime informazioni, istruzioni e quesiti:

I fatti si sono svolti nella mattina di giovedì 8 giugno 2023 (sic).
Alle ore 12.00 un dipendente dell'hotel ha richiesto i soccorsi.
Alle ore 12.15 è arrivato sul posto il personale del 118.
Alle ore 12.25 sono intervenuti gli specialisti della Polizia Scientifica.
Da quel momento i dispositivi elettronici sono stati messi in sicurezza e il loro contenuto duplicato integralmente.

In questa cartella, c'è una selezione dei file rilevanti estratti da tali copie forensi, sufficienti a rispondere ai seguenti quesiti:

  1. Con chi si è incontrato il prof. Antani prima della conferenza?
  2. Con chi ha comunicato il professore durante la permanenza nella sala conferenze?
  3. A che ora il professore ha finito di lavorare alla presentazione?
  4. Quali dispositivi di storage esterni sono stati collegati al notebook durante la mattinata?
  5. Come è stato collegato il notebook a Internet? Con quale IP locale?
  6. A che ora è stato acceso il notebook, e a che ora è stato spento? Qual è il suo hostname?
  7. Quali programmi applicativi sono stati eseguiti dall’utente nel corso della mattinata?
  8. Quali termini sono stati ricercati su Internet tra le 10.00 e le 11.00?

Nella cartella consegnata alle squadre erano presenti questi file, scaricabili da TipiLoschi.net:
https://www.tipiloschi.net/HIB23/pendrive.root.ad1
https://www.tipiloschi.net/HIB23/pendrive.root.ad1.txt
https://www.tipiloschi.net/HIB23/zanhotel_sda2_root_hotspots.ad1
https://www.tipiloschi.net/HIB23/zanhotel_sda2_root_hotspots.ad1.txt

Sappiamo benissimo che è pressochè impossibile completare questa indagine nei soli 45 minuti (!) che le squadre avevano a disposizione, il loro scopo infatti era di andare il più avanti possibile nell'indagine, non di concluderla.

Per voi è diverso: voi non avete limiti di tempo, quindi gustatevi l'impresa. E anzi, visto che avete tempo, aggiungo un paio di quesiti:

Quesiti aggiuntivi, per i solutori più che abili:
9. Come è morto il professore?
10. Dove si trova il pendrive verde?
11. Chi si è appropriato abusivamente dei documenti del prof. Antani?

Come ho detto alle squadre partecipanti, può darsi che vi occorrano degli specifici approfondimenti di indagine per completare la quest: che siano atti di iniziativa o che richiedano delega dell'Autorità Giudiziaria, potete richiedermeli via mail a rebus@tipiloschi.net, e se la richiesta è sensata vi fornirò tutti gli elementi utili alla vostra indagine. Potete scrivermi anche solo per un suggerimento se avete perso l'orientamento, non costa nulla ;)

Lascerò passare un po' di tempo prima di pubblicare il post con le soluzioni, se intanto volete mandarvi le vostre, l'indirizzo e-mail è sempre quello sopra. Buone indagini!

HackInBo® Forensic Games, fase #2: sulla scena del crimine

Inviato da rebus il Lun, 07/08/2023 - 12:57

polizia scientificaNel precedente post della serie sui Forensic Games, avevo promesso la descrizione degli elementi presenti sulla scena del delitto e dell'operato delle squadre intervenute a simulare il sopralluogo informatico.

Nell'ambientazione del gioco, infatti, il sopralluogo di Polizia Scientifica è già iniziato e tutt'ora in corso, per cui ai giocatori era richiesto di occuparsi soltanto degli aspetti informatici, senza curarsi delle altre operazioni in corso (ma senza intralciarle!)

Li ho quindi personalmente guidati all'interno della scena, mettendoli al corrente dei miei appunti:

Il cadavere è stato trovato 25 minuti fa, l'area è stata immediatamente presidiata; quando abbiamo visto che c'erano un computer e un telefono non li abbiamo toccati e abbiamo chiamato voi, è davvero incredibile che siate già qui!

Ho quindi indicato loro l'area tecnica (gli spazi in cui sono stati collocati gli strumenti dei sopralluoghisti e le risorse a loro disposizione) e gli elementi già individuati, contrassegnati e fotografati:

  • sul tavolo, una bottiglia d’acqua aperta e coricata su una piccola pozza d'acqua, un bicchiere, alcune caramelle, un telefono cellulare, un computer portatile;
  • a terra, l'incarto di una caramella;
  • attorno al cadavere: una sedia rovesciata a terra e il cavalletto portablocco rovesciato con alcuni pennarelli sparsi a terra;
  • nel cestino: comune spazzatura di nessuna rilevanza.

Al netto dei dettagli di contesto, quindi, l'attenzione dei giocatori doveva ricadere sui due dispositivi elettronici evidenti, di cui sono state osservate natura, posizione e condizioni.

Il notebook era acceso e collegato al proiettore al centro della stanza, di modo che il contenuto del desktop fosse visibile a tutti i presenti, proiettato sullo schermo della parete anteriore della sala. Si poteva quindi notare già solo entrando nella scena che avremmo avuto a che fare con un sistema Windows, con una sessione utente aperta e una presentazione (Impress) aperta sulla schermata di editing.

scena del crimine

Prima ancora di maneggiare lo smartphone, entrambe le squadre si sono accorte che sul display appariva una strisciata a forma di Z, che si è sospettato potesse essere la sequenza di sblocco. Quando lo smartphone (identificato come Xiaomi Mi A3) è stato sollecitato, infatti, ha presentato un lockscreen di tipo patter lock, e il segno evidenziato appariva coincidere con la sequenza 1-2-3-5-7-8-9. La sequenza ahimè non si è rivelata utile a sbloccare il dispositivo, ma è meritevole che il dettaglio si stato notato e correttamente valutato.

Entrambe le squadre (composta ognuna da cinque giocatori) hanno deciso di ottimizzare il poco tempo disponibile suddividendosi i compiti e operando quindi in parallelo sul notebook e sullo smartphone.

Chi ha operato sullo smartphone ha preliminarmente identificato il modello, lo stato di funzionamento, il lock e le informazioni disponibili da display. Da lì in poi possiamo dire che sono stati fatti, da entrambe le squadre, soltanto errori: nessuno disponeva di un meccanismo di lock by-pass applicabile, per cui non sarebbe stato in alcun modo possibile provvedere né all'esame diretto né alla copia forense dei dati conservati nel device, ragion per cui l'unica cosa sensata da fare sarebbe stato repertarlo acceso e isolato da comunicazioni con l'esterno (una busta di Faraday era stata messa a loro disposizione assieme alle buste di sicurezza, per cui c'era anche un suggerimento implicito) per farlo arrivare il prima possibile in un laboratorio attrezzato. E invece i nostri investigatori hanno avuto ansia di risolvere il caso sul posto: che fosse per cercare di accedere via fastboot o tramite recovery o chissà con quale altra diavoleria, entrambe le squadre hanno prima riavviato e poi spento il dispositivo, repertandolo infine spento, più o meno correttamente dal punto di vista fisico, ma comunque perdendo il potenziale vantaggio dello stato AFU, precludendo così ogni possibile speranza di utilizzo del prezioso contenuto della RAM.

La Squadra A non ha provveduto lì per lì ad esaminare e descrivere la SIM inserita nello smartphone, mentre la Squadra B l'ha estratta e fatta fotografare per documentarne il codice ICCID.

sopralluogo informatico

Sul notebook invece i giocatori sono stati più fortunati: disponendo di una sessione aperta, hanno notato dettagli utili: data e ora di sistema; assenza di connessioni di rete; una cartella sul Desktop, aperta in Esplora Risorse, con file di lavoro ricondicibili al professore, tra cui la presentazione Impress aperta. Hanno avuto l'accortezza di verificare la presenza di cifratura BitLocker: la Squadra A ha provveduto subito ad acquisire (due volte: prima da CLI e poi da GUI) la chiave di BitLocker per assicurarsi l'accesso al filesystem cifrato anche dopo lo spegnimento del notebook; la Squadra B invece, presa dalla foga, prima ha spento il computer, poi ha provato a smontarlo (senza avere gli attrezzi idonei), poi si è rassegnata a riavviarlo e, a fronte della richiesta al boot, a chiedere umilmente alla reception la password di BitLocker e per l'utente di default... In questo contesto specifico, date le premesse dell'antefatto, la cosa può anche funzionare, ma non mi sentirei di raccomandarla come prassi generale ;D

La Squadra A ha pensato di eseguire una copia live dai dati del notebook. Ha pensato di usare FTK Imager. Ha pensato che per farlo la cosa migliore fosse installare FTK Imager sul notebook da esaminare. Ha avviato la copia del disco, ha constatato che avrebbe richiesto ore, la abortito la copia del disco :)

Mi sembra che nessuna delle due squadre abbia eseguito una cattura della RAM, che forse era l'unica cosa che rimaneva da fare dopo aver risolto la faccenda BitLocker.

La Squadra B ha trovato un ulteriore reperto informatico che era passato del tutto inosservato alla Squadra A: in mezzo ai penarelli a terra c'era un pendrive SanDisk da 128 GB, che presumibilmente era stato appoggiato sul vassoio del cavalletto portablocco prima che questo fosse rovesciato. D'altronde, se il notebook appartiene all'hotel ed è stato ritirato poche ore fa, i file del professore devono essere arrivati in qualche modo sul desktop: li avrà scaricati dalla rete? O avrà collegato un dispositivo di memoria da cui copiarli? La cronologia dei browser e il registro di sistema contengono la risposta, l'occhio attento degli investigatori l'ha trovata sulla scena. In un contesto reale, non vedere quel pendrive avrebbe comportato la perdita di informazioni molto importanti per la ricostruzione dei fatti.

Ma la Squadra B è anche quella che ha calpestato per due volte un altro reperto (l'incarto della caramella) prima che venisse imbustato, e senza nemmeno accorgersene (o facendo finta di non accorgersene sperando che non me ne accorgessi io ;-)) ma diamine, io certe trappole ve le ho messe lì apposta per vedere come le avreste affrontate! ;D)

Insomma, entrambe le squadre durante il sopralluogo, nonostante abbiano fatto diverse osservazioni corrette, sono finite per commettere degli errori madornali. Ma è comprensibile: i partecipanti non sono professionisti della digital forensics o della Polizia Scientifica, avevano poco tempo a disposizione e non avevano avuto precedentemente tempo per studiare un approccio al problema o anche solo per fare un minimo di team building tra di loro, non poteva andare diversamente. Di questo eravamo ben consapevoli approntando il gioco, e sapevamo di doverne tenere conto.

Spesso hanno ceduto alla tentazione di cercare risposte immediate: frugando in live nella cronologia dei browser (non in tutti però...), nei log di sistema, nelle cartelle... ma in modo disordinato e senza l'uso di strumenti specifici. Lo scopo prioritario del sopralluogo non dovrebbe essere quello di risolvere il caso a tutti i costi, ma piuttosto di mettere in sicurezza i dispositivi e le potenziali fonti di prova che contengono per un successivo esame approfondito. In altre parole, i giocatori non avrebbero dovuto cercare ad ogni costo di finire il gioco alla seconda prova, ma di dedicare quei 45 minuti a trovare, descrivere e repertare correttamente le cose pertinenti all'indagine per la fase successiva. Tirate le somme, al termine del sopralluogo la Squadra B si trovava avvantaggiata sui rivali, non tanto per una superiore bravura, quanto per l'aver commesso qualche errore meno grave degli avversari.

live forensics

Nel prossimo post vedremo la fase di indagine, durante la quale gli elementi raccolti sono stati analizzati al fine di rispondere ai quesiti investigativi. Vi darò le stesse copie forensi su cui hanno lavorato loro, così da poter provare a fare di meglio ;-)

HackInBo® Forensic Games, fase #2: il sopralluogo

Inviato da rebus il Mer, 02/08/2023 - 12:16

Il sopralluogo informatico è un momento di delicati equilibri.

Se avete seguito i post precenti sui Forensic Games, siete arrivati con noi sulla soglia della scena del crimine.

Delimitazione scena dal crimine

Infatti, una volta corretti i test dei nostri concorrenti, abbiamo avuto informazioni sufficienti per dividerli in due squadre equilibrate. A proposito, come è andata la vostra prova? Avete provato a rispondere ai quiz del precedente post? Avete ottenuto un buon punteggio? Confrontatelo con quello dei nostri concorrenti: i migliori hanno totalizzato 37 punti su 54, per poi scendere fino a 18/54 (chi non aveva un computer a disposizione ha dovuto rinunciare in blocco ai 25 punti dati dalle prove pratiche).

A questo punto abbiamo formato due squadre, che in un guizzo di creatività abbiamo chiamato Squadra A e Squadra B. Mentre la Squadra B rivedeva insieme a Paolo Reale le risposte date ai quiz del mattino (di modo da rendere l'esperienza didattica e formativa), la Squadra A aveva accesso alla scena del crimine, sulla quale era in corso il sopralluogo di polizia scientifica.

Varcata la soglia, alla squadra è stato fornito il contesto del caso:

Antefatto

Il prof. Antani, eminente studioso dell’Università di Bologna, è stato trovato morto nella sala conferenze dello Zanhotel in cui avrebbe dovuto tenere per HackInBo® una relazione sull’etica brematurata delle intelligenze artificiali.

Il professore, dopo una brillante e rispettata carriera, negli ultimi anni era divenuto inviso alla comunità accademica per le sue posizioni poco ortodosse, che gli hanno causato frequenti ostracismi e accese rivalità. Anche la scelta di presentare le sue ultime ricerche ad HackInBo, fuori dall’ordinario contesto scientifico, gli ha attirato velenose critiche e aperte derisioni da parte di suoi colleghi.

Il personale dell’albergo ha riferito che il professore questa mattina è arrivato intorno alle 9.30, in largo anticipo rispetto alla sua conferenza, prevista per le 12.30, apparentemente agitato e ansioso di ispezionare la sala e ultimare la sua presentazione. Ha ritirato alla reception un computer portatile, messo a disposizione dall’hotel, si è fatto aprire la sala dal responsabile e, richiudendo la porta, ha chiesto di non essere disturbato per un paio d’ore, dovendo concentrarsi sugli ultimi dettagli della presentazione.

A mezzogiorno in punto il responsabile di sala è tornato per verificare che fosse tutto in ordine e ha trovato il professore a terra esanime. Ha allertato immediatamente i soccorsi, poi, notando il disordine della sala, ha richiesto anche l’intervento delle forze dell’ordine, sospettando un’aggressione.

I sanitari hanno tentato invano la rianimazione; la volante intervenuta ha messo in sicurezza il perimetro e richiesto l’intervento della Polizia Scientifica; il medico legale inviato dal PM ha esaminato la salma (che presto sarà rimossa e trasferita in obitorio a disposizione dell'Autorità Giudiziaria) e si riserva di riferire sulle cause della morte dopo l’esame autoptico.

Ora si stanno svolgendo le ultime fasi del sopralluogo: avendo notato dei dispositivi informatici presenti sulla scena, i sopralluoghisti hanno richiesto l’intervento degli specialisti di digital forensics: ora tocca a voi fare la vostra parte!

delimitazione scena del crimine

 

scena del crimine

Polizia Scientfica sulla scena del crimine

Quest'uomo è morto senza pantaloni! (Ispettore Rebus, durante l'allestimento della scena ;0))

La squadra ha avuto a disposizione queste poche informazioni, alcuni materiali di consumo (guanti monouso, buste di sicurezza, pennarello indelebile), il valido supporto tecnico di un vero sopralluoghista della Polizia Scientifca e della sua valigetta di sopralluogo, e il dubbio supporto di un Ispettore che la sapeva lunga in quanto a indagini, sopralluoghi e procedure, ma completamente digiuno di informatica (altrimenti perchè rivolgersi ai veri specialisti? ;-))) per completare in soli 45 minuti il sopralluogo informatico e individuare e mettere in sicurezza le fonti di prova digitali.

Scaduto il tempo, la sala è stata resettata e messa a disposizione della Squadra B alle medesime condizioni, mentre la Squadra A rivedeva, sempre con Paolo Reale, le risposte ai quiz del mattino.

Nel prossimo post vedremo nel dettaglio quali elementi erano presenti sulla scena del delitto, come si sono comporate le squadre, alcuni dei loro successi e dei loro errori, e qualche considerazione su come avrebbero potuto svolgersi le operazioni.

HackInBo® Forensic Games, fase #1: le competenze

Inviato da rebus il Mar, 01/08/2023 - 15:06

Forensic GamesSe si vuole lavorare nell'ambito della digital forensics, servono competenze tecniche specializzate e salde cognizioni giuridiche.

Per partecipare ai Forensic Games non è strettamente necessario nulla di ciò: si tratta appunto di un gioco! Naturalmente però a una maggiore competenza corrisponde una più appagante esperienza di gioco. Per far sì che tutti i partecipanti potessero essere coinvolti al più possibile in egual misura, abbiamo pensato di testare inizialmente le capacità individuali di ciascun concorrente per cercare di distribuirle il più equamente possibile in squadre che risultassero tra loro bilanciate.

La batteria di test compilata da Paolo Dal Checco è servita esattamente a questo scopo: in 45 minuti cronometrati, i concorrenti hanno dovuto rispondere a 29 domande "teoriche" su conoscenze basilari della digital forensics, e a 5 quesiti "pratici", basati cioè sull'osservazione di alcuni artefatti digitali allegati al quiz.

A quanto abbiamo constatato, è necessario ribadire anche per le future edizioni quel che a torto ci pareva implicito: se vi iscrivete ai Forensic Games e volete partecipare a un contest di digital forensics, è utile portarsi un computer.

Quando nelle istruzioni c'è scritto "portate il computer perchè ci sono i Forensic Games", cosa dovete portare?
(Paolo Dal Checco al termine dei Forensic Games)

Ognuno lavora con gli strumenti che conosce e predilige, in assenza possiamo anche indicarvene noi o prestarvi un pendrive con Bento o Tsurugi (più che sufficienti a svolgere qualsiasi compito ci venisse in mente di sottoporvi in gara), ma è veramente molto difficile eseguire delle analisi forensi anche spicciole avendo solo lo smartphone o addirittura "a mani nude".  Io sono un nerd e mi porto il notebook anche al gabinetto, forse sono eccessivo nell'altro verso, ma non mi aspettavo che qualcuno venisse ad HackInBo (e in particolare ai Forensic Games) senza strumenti. Ecco, il mio consiglio per il futuro è "non fatelo: sareste sensibilmente svantaggiati". Comunque, il bello di lavorare in gruppo è che questi svantaggi si ammortizzano col lavoro di squadra.

Tornando ai quiz: se volete cimentarvi, come hanno fatto i nostri concorrenti, il testo del quiz è allegato a questo post, mentre i file da esaminare per rispondere ai quesiti pratici sono contenuti in questo archivio 7zip (la password per aprire il file 7z è H4CK!nB0). Se volete misurarvi con i risultati ottenuti il 10 giugno dai nostri concorrenti, ricordate che loro hanno avuto a disposizione solo 45 minuti, per cui cronometratevi e annotate le risposte: trascorsi i 45 minuti fermatevi dal rispondere e calcolate il vostro punteggio utilizzando il foglio delle correzioni, sempre in allegato. Ovviamente potete anche barare, se volete, chi può impedirvelo? Fate ciò che vi soddisfa di più :-)

Criminalità informatica e investigazioni digitali 2023

Inviato da rebus il Dom, 30/07/2023 - 09:30

UniMIDal 25 luglio 2023 è stato aperto il bando per la nuova edizione del Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali per l'A.A. 2023-2024, dedicata interamente all’intelligenza artificiale in ambito penalistico, criminale e processuale.

Il corso ha l’obiettivo di formare esperti in informatica giuridica, in diritto delle nuove tecnologie, in criminalità informatica e investigazioni digitali con particolare attenzione alla capacità di effettuare investigazioni (valide in giudizio) sulla cosiddetta “fonte di prova digitale” in caso di frodi informatiche in qualsiasi ambito (bancario, assicurativo, familiare, aziendale).

Gli obiettivi formativi verranno raggiunti sia con la costruzione di una solida base teorica nel discente, sia con numerosi esempi e casi pratici risolti insieme allo studente e che coprono quasi tutti gli scenari possibili presenti oggi nella società digitale.

I posti disponibili sono soltanto 200, il corso è come sempre online anche in asincrono, quindi è possibile seguire le lezioni anche successivamente e in qualunque momento, possono iscriversi solo laureati/e (anche triennali) in qualsiasi disciplina.

Le lezioni si terranno su piattaforma Zoom e Moodle in lingua italiana, la graduatoria di accesso verrà attivata solo in caso di superamento dei 200 iscritti.

corso-perfezionamento-criminalita-informatica-2023

Il corso è suddiviso nei seguenti moduli:

  • Primo modulo: Un'introduzione tecnica, politica e normativa all'AI (Bias, discriminazioni e responsabilità, rischi dell’algoritmo, protezione del dati, analisi del rischio e anticipatory compliance)
  • Secondo modulo: L'intelligenza Artificiale e il mondo criminale (Analisi predittiva dei comportamenti criminali, generazione "autonoma" del crimine, criminalità organizzata e reati associativi)
  • Terzo modulo: Intelligenza Artificiale, profilazione e controllo (Disinformazione, phishing, spam, profilazione e orientamento del comportamento dei dipendenti)
  • Quarto modulo: Bot, botnet, deep fake, Metaverso (Deepfake e crimine, bot e botnet per uso criminale, crimine nel metaverso)
  • Quinto modulo: Intelligenza Artificiale e information warfare (Eserciti e armi autonome, droni, fake news)
  • Sesto modulo: Intelligenza Artificiale e reati correlati al mondo aziendale (Antifrode in ambito bancario e assicurativo, tutela della proprietà industriale e accertamenti tecnici, tutela della proprietà intellettuale e strumenti di contrasto)
  • Settimo modulo: Intelligenza Artificiale e infrastrutture critiche (Privacy del paziente e rischi per la salute, attacchi alle strutture sanitarie)
  • Ottavo modulo: Intelligenza Artificiale e cybersecurity (Protezione dagli attacchi, detection, virus e malware, trasparenza e black box)
  • Nono modulo: Intelligenza Artificiale a supporto delle attività investigative (Digital forensics, sicurezza nazionale e antiterrorismo, contrasto all'evasione, antipirateria e anticontraffazione tra AI e ACR)
  • Decimo modulo: Intelligenza Artificiale e applicazioni pratiche (Tutele e rischi peri minori, Tribunali e "sistema giustizia", analisi degli assistenti domestici)

I docenti del Corso di Perfezionamento organizzato dall’Università di Studi di Milano sono: C. Ardagna, S. Aterno, F. Basile, S. Battiato, F. Bavetta, N. Bena, F. Bertoni, D. Caccavella, L. Confente, P. Dal Checco, F. Ditaranto, M. Epifani, M. Flora, D. Gabrini, G. B. Gallus, S. Greco, T. Grotto, M. A. Incardona, B. Indovina, P. Kowalicka, S. Mele, F. P. Micozzi, G. Pasceri, P. Perri, E. Pino, A. Stanchi, S. Stanco, G. Vaciago, V. Vertua, A. Zampetti, G. Ziccardi.

La locandina del Corso di Perfezionamento in Criminalità Informatica e Indagini Digitali è allegata a questo post.

Il costo è di euro 566,00 (comprensivo della quota assicurativa nonché dell'imposta di bollo, pari a euro 16,00, prevista dalla legge).

HackInBo® Forensic Games

Inviato da rebus il Lun, 26/06/2023 - 16:13

Forensic GamesIl 10 giugno 2023 si sono svolti i primi Forensic Games: un'iniziativa fortemente voluta da Mario Anglani come attività collaterale alla conferenza HackInBo®, che è stata realizzata in collaborazione con la Polizia Scientifica e con i consulenti informatici Alessandro Farina, Paolo Dal Checco e Paolo Reale.

Lo scopo dell'iniziativa era di consentire ai partecipanti di misurarsi in una serie di prove di digital forensics, sia teoriche che pratiche, per vincere i premi in palio ma soprattutto per vivere l'esperienza di un'indagine informatica.

Nella prima fase, i concorrenti si sono sottoposti ad una sorta di prova di qualificazione: una batteria di quiz individuali, a risposta multipla e basati sull'analisi di artefatti digitali, è servita agli organizzatori per saggiare le competenze di ognuno e cercare di ripartirle in due squadre quanto più possibile equilibrate.

Nella seconda fase, le squadre sono entrate a turno nella scena del crimine: un ambiente isolato in cui gli operatori della Polizia Scientifica hanno ricostruito la scena di un delitto, nella quale i partecipanti hanno dovuto muoversi per individuare e raccogliere opportunamente le potenziali fonti di prova digitali, eseguendo il sopralluogo informatico mentre erano in corso le altre operazioni di rilievo, documentazione e raccolta di tracce biologiche e dattiloscopiche.

Infine, nella terza parte, sono state fornite alle squadre le copie forensi delle evidenze raccolte sulla scena affinchè fossero analizzate e utilizzate con le altre attività di indagine simulata per rispondere ad una serie di quesiti sulle circostanze del delitto.

Al termine del gioco, dopo rapido consulto sulla valutazione delle risposte, si è svolta la premiazione sul palco, che potete vedere nel filmato incluso in questo post.

Nei prossimi giorni è mia intenzione pubblicare ulteriori post per raccontare la preparazione e lo svolgimento del gioco, rilasciando gradualmente con essi tutti i materiali prodotti, facendoli seguire da un commento su come le prove sono state o avrebbero potuto essere affrontate dai partecipanti. Il tempo a loro disposizione era davvero poco, per cui non avrebbero mai potuto trovare tutte le risposte e ricostruire compiutamente tutti i fatti, ma credo che a scopo didattico varrà la pena analizzare minuziosamente e senza la fretta della competizione tutti i dettagli del caso.

La prossima edizione dei Forensic Games sarà sabato 18 novembre durante la 21° edizione di HackInBo® e si avvarrà nuovamente del supporto della Polizia Scientifica.

Le mie best practices per iPhone e iDevice

Inviato da rebus il Mer, 29/03/2023 - 08:58

iphone seizure

A pensarci bene, non ho nemmeno la pretesa di chiamarle best practices: non mi sogno di sostenere che siano le migliori pratiche in assoluto, sono solo il meglio che sono riuscito a fare fin qui, ma pur con tutti i lustri di esperienza sul campo che ho accumulato, comunque io non conto niente, quindi chiamiamole onestamente humble practices :)

Dopo aver ripetuto queste raccomandazioni per anni ai miei colleghi e ai miei studenti, ho provato a metterle per iscritto, cosapevole che si tratta di un documento mai finito: a ogni nuovo modello di iPhone o nuova release di iOS ci sono nuove feature, diverse configurazioni di default, cambiamenti nella fornitura dei servizi, e poi arrivano exploit e jailbreak a cambiare le regole, è un aggiornamento continuo. Per cui se avete suggerimenti siete i benvenuti :)

Poor man's humble practices for iOS devices

1. SCOPO DEL DOCUMENTO

Fornire istruzioni operative applicabili durante un sopralluogo informatico per la corretta trattazione dei dispositivi Apple iPhone e iPad dotati di sistemi operativi iOS, in considerazione delle peculiarità costruttive e delle condizioni rilevabili, al fine di provvedere alla loro identificazione, descrizione, raccolta, acquisizione e conservazione secondo modalità idonee a scopi forensi.

Indagini nel deep web e nel dark web

Inviato da rebus il Ven, 17/02/2023 - 08:34

Scuola Superiore della Magistratura

Giovedì 16 febbraio 2023 sono stato docente presso la Scuola Superiore della Magistratura per il corso "La scienza e il processo penale": un corso frontale che si è svolto nella splendida cornice di Villa Castel Pulci, rivolto a 90 discenti provenienti da tutta Italia (settanta magistrati ordinari e dieci magistrati onorari con funzioni penali, cinque magistrati militari, cinque avvocati) e articolato in quattro sessioni incentrate sulla prova scientifica alla luce dell'evoluzione delle tecniche di accertamento in ambito penale e in riferimento alle nuove tecnologie di acquisizione di fonti di prova.

Il mio intervento, dal titolo "Le attività investigative nel deepweb e nel darkweb", è stato dedicato per l'appunto alle attività di raccolta delle fonti di prova dal web, con particolare attenzione ai suoi ambiti più sfuggenti: dopo aver definito la distinzione tra clearnet, deep web, darkweb e darknet, e aver descritto il funzionamento di massima dei motori di ricerca generalisti e specialistici, ho parlato di opportunità e limiti delle strategie di Open Source Intelligence e Cyberintelligence, per presentare poi una panoramica dell'ecosistema delle darknet e delle possibilità investigative in termini di raccolta delle prove, deanonimizzazione degli utenti e analisi forense degli artefatti digitali residui.

Quasi tutte le slide sono allegate a questo post.

Convegno ONIF Amelia 2022

Inviato da rebus il Sab, 12/11/2022 - 19:34

ONIFDal 10 al 12 novembre 2022 sono stato ospite di ONIF ad Amelia per il convegno “Il futuro dell’informatica forense torna ad Amelia”, organizzato per la sesta volta dall’Osservatorio Nazionale per l’Informatica Forense

Il convegno si è svolto nella giornata di venerdì 11 novembre 2022 dalle 9 alle 17:30, nella suggestiva cornice del Chiostro Boccarini, in contemporanea nella Sala Boccarini e nella Sala Palladini. Durante la giornata si sono susseguiti interventi su argomenti legati all’informatica forense e informatica giuridica da parte di operatori delle Forze dell’Ordine oltre a personalità istituzionali, giuristi, consulenti tecnici dell’Associazione ONIF e fornitori di soluzioni per la digital forensics. L'evento, gratuito per il pubblico previa registrazione, ha dato il tutto esaurito a poche ore dall'apertura delle iscrizioni.

Per me è stata un'occasione preziosissima (di cui sono molto grato a ONIF per l'invito e alla mia Amministrazione per averlo autorizzato) per uscire dal lungo letargo pandemico, rivedere in presenza vecchi amici e colleghi e conoscerne di nuovi.

Ho colto l'occasione per rispolverare un vecchio argomento di cui, ahimè, pare ci sia ancora bisogno di parlare pur dopo tanti anni: la ripetibilità degli accertamenti di informatica forense su dispositivi mobili. Nel tempo a mia disposizione ho riassunto le argomentazioni tecniche e, soprattutto, quelle giuridiche, riportando i riferimenti di legge e gli orientamenti consolidati di dottrina e giurisprudenza, parte dei quali avevo già elencato nel post Estrazione dati da dispositivi informatici: considerazioni sulla ripetibilità, in cui elencavo stralci di sentenze di Cassazione pertinenti all'argomento. Le slide della mia relazione sono allegate in fondo a questo post.

Bento 2022.7 released: DFIR toolkit for first responders

Inviato da rebus il Ven, 15/07/2022 - 10:51

BentoYour forensic launcher box

A brand new release for Bento! I just published the release of july 2022.

So the latest release it's 2022.7: you can download it here and expect it returns this hash:

  • MD5: b7e4bd554b706e81f4e24a1006cdf4b9 *Bento-2022.7_public.7z

From previous release, all packages has been updated, including SyMenu itself. Then a special integration of WinTriage has been made, with direct collaboration from Securizame's developers. A special thanks to Lorenzo Martínez Rodríguez for his patience and readiness. Two new tools for automated triage has been added: