Digital Forensics

Bento 2022.7 released: DFIR toolkit for first responders

Inviato da rebus il Ven, 15/07/2022 - 10:51

BentoYour forensic launcher box

A brand new release for Bento! I just published the release of july 2022.

So the latest release it's 2022.7: you can download it here and expect it returns this hash:

  • MD5: b7e4bd554b706e81f4e24a1006cdf4b9 *Bento-2022.7_public.7z

From previous release, all packages has been updated, including SyMenu itself. Then a special integration of WinTriage has been made, with direct collaboration from Securizame's developers. A special thanks to Lorenzo Martínez Rodríguez for his patience and readiness. Two new tools for automated triage has been added:

Bento 2022.7 aggiornato: DFIR toolkit per i first responders

Inviato da rebus il Ven, 15/07/2022 - 10:36

BentoYour forensic launcher box

Nuovo aggiornamento per Bento! Ho appena rilasciato la versione di luglio 2022.

La versione attuale è la 2022.7, è scaricabile da qui e deve restituire il seguente hash:

  • MD5: b7e4bd554b706e81f4e24a1006cdf4b9 *Bento-2022.7_public.7z

Rispetto alla release precedente sono stati aggiornati tutti i pacchetti e lo stesso SyMenu alle versioni più recenti. Inoltre è stato fatto un lavoro speciale di integrazione per WinTriage, con la diretta collaborazione degli sviluppatori di Securizame. Ringrazio in particolar modo Lorenzo Martínez Rodríguez per la pazienza e la disponibilità dimostrate. Sono stati testati e aggiunti due tool

Estrazione dati da dispositivi informatici: considerazioni sulla ripetibilità

Inviato da rebus il Mar, 12/07/2022 - 19:44

Do it again!Non vorrei davvero tornare su un argomento così trito e ritrito, se non fosse che ne vedo purtroppo ancora la necessità: nell'ultimo anno mi sono trovato più volte a dover riesumare argomentazioni che risalgono ad almeno 15 anni fa per sostenere che le operazioni di estrazione dati da un dispositivo informatico, in condizioni ordinarie, non hanno motivo di essere qualificate come accertamento irripetibile. A meno che non ci sia effettivamente una ragione straordinaria che lo renda necessario :-)

In questo post quindi voglio riepilogare alcune pronunce della Cassazione penale a riguardo, e chiedo la vostra collaborazione nel segnalarmene altre.

Intenzionalmente ho escluso la giurisprudenza di merito e, a malincuore, anche l'autorevole dottrina a riguardo, perche voglio dare la priorità ai pareri più vincolanti, ma non escludo di integrare il post in seguito (comunque, per il bene vostro e mio, neppure mi sogno di elencare per l'ennesima volta le argomentazioni tecniche).

Le mie best practices per iPhone e iDevice

Inviato da rebus il Mar, 12/07/2022 - 08:58

iphone seizure

A pensarci bene, non ho nemmeno la pretesa di chiamarle best practices: non mi sogno di sostenere che siano le migliori pratiche in assoluto, sono solo il meglio che sono riuscito a fare fin qui, ma pur con tutti i lustri di esperienza sul campo che ho accumulato, comunque io non conto niente, quindi chiamiamole onestamente humble practices :)

Dopo aver ripetuto queste raccomandazioni per anni ai miei colleghi e ai miei studenti, ho provato a metterle per iscritto, cosapevole che si tratta di un documento mai finito: a ogni nuovo modello di iPhone o nuova release di iOS ci sono nuove feature, diverse configurazioni di default, cambiamenti nella fornitura dei servizi, e poi arrivano exploit e jailbreak a cambiare le regole, è un aggiornamento continuo. Per cui se avete suggerimenti siete i benvenuti :)

Poor man's humble practices for iOS devices

1. SCOPO DEL DOCUMENTO

Fornire istruzioni operative applicabili durante un sopralluogo informatico per la corretta trattazione dei dispositivi Apple iPhone e iPad dotati di sistemi operativi iOS, in considerazione delle peculiarità costruttive e delle condizioni rilevabili, al fine di provvedere alla loro identificazione, descrizione, raccolta, acquisizione e conservazione secondo modalità idonee a scopi forensi.

Live forensics from the perspective of Law Enforcement (EN)

Inviato da rebus il Gio, 19/05/2022 - 21:15

UniPDOn Thursday 12 May I lectured at the University of Padua as part of the teaching of Digital Forensics for the second cycle degree in ICT for Internet and Multimedia, at the kind invitation of prof. Silvia Signorato.

The lecture, held in English, was entitled "Live forensics from the perspective of Law Enforcement" and concerned the practical management of the crime scene regarding digital evidence: for 2 hours, we discussed about live forensics and on-the-spot investigations, search and seizure of digital devices and digital evidence, best practices, chain of custody, same old situations and emergent issues,  concluding with an overview on digital forensics lab activities.

The slides of this lesson are attached to this post.

Live forensics from the perspective of Law Enforcement

Inviato da rebus il Gio, 19/05/2022 - 12:25

UniPDA distanza di breve tempo, ho tenuto due lezioni in presenza molto simili, seppure svolte in due corsi completamente diversi:

Lunedì 11 aprile ero all'Università di Pavia a tenere una lezione per il corso di Procedura penale I parte presso il Dipartimento di Giurisprudenza, su gentile invito della prof.ssa Livia Giuliani. La trattazione era incentrata sulla gestione della scena del crimine dal punto di vista delle evidenze digitali e in riferimento alle prescrizioni del codice di procedura penale e delle best practices internazioni e nazionali in materia.

Giovedì 12 maggio invece ero all'Università di Padova, nelle mie vesti ufficiali di Ispettore della Polizia Scientifica, a tenere una lezione in lingua inglese dal titolo "Live forensics from the perspective of Law Enforcement" nell'ambito dell'insegnamento di Digital Forensics del corso di laurea magistrale in ICT for Internet and Multimedia (ingegneria per le comunicazioni multimediali e internet), su gentile invito della prof.ssa Silvia Signorato. In questo caso la trattazione è stata meno legata alla procedura penale e più alla gestione pratica della scena del crimine, dal momento che avevo davanti studenti del quinto anno di ingegneria (di cui circa metà stranieri), anzichè studenti di giurisprudenza. Oso dire che l'esperienza sia stata formativa per entrambe le parti :-)

Le slide di quest'ultima lezione sono in allegato a questo post.

Slide dal Convegno MSAB, Milano 2022

Inviato da rebus il Mer, 16/03/2022 - 21:02

MSABDopo lungo tempo si torna in presenza, con un convegno organizzato da MSAB per i propri clienti dal titolo “Estrazione ed Analisi: Interazioni, Relazioni e Differenze”.

Pur trattandosi esplicitamente di un evento organizzato da uno specifico produttore con diretti interessi commerciali, i contributi dei relatori ospiti sono stati come al solito vendor neutral. Insieme ad altri esperti del settore, ci siamo dunque trovati il 16 marzo 2022 presso l’Hotel Doria di Milano, dalle ore 9:00 alle ore 17:00, con questo programma:

Corso di Perfezionamento in Criminalità informatica e investigazioni digitali A.A. 2021/2022

Inviato da rebus il Gio, 09/12/2021 - 19:00

UniMIPer una serie di buffi equivoci, mi sono ritrovato docente a mia insaputa (cit.) al Corso di Perfezionamento in Criminalità informatica e investigazioni digitali presso l'Area di Giurisprudenza dell'Università degli Studi di Milano, che per l'A.A. 2021/2022 tratta delle procedure di investigazione e di rimozione dei contenuti digitali: pornografia, proprietà intellettuale, odio e terrorismo, oblio e tutela della reputazione.

Non che sia stata una grande sorpresa: è con immenso piacere che aderisco ogni anno all'invito che per qualche ragione il prof. Giovanni Ziccardi continua a rinnovarmi, solo non avevo capito, fino alla pubblicazione del programma, di essere inserito d'ufficio nel panel dei docenti anche quest'anno! Ho avuto per fortuna tutto il tempo di prepararmi adeguatamente, anche perchè ho una personale sensibilità sui temi da trattare, maturata negli anni di esperienza sul campo.

Le mie lezioni si sono svolte in streaming, in diretta dalla Stanza del Cucito di casa mia.

La prima, svoltasi il 23 novembre 2021, verteva sui Crimini d'odio sul web,

Corso di Informatica e Sicurezza Informatica UniPV A.A. 2021/2022

Inviato da rebus il Mer, 06/10/2021 - 14:30

UniPVQuesto post è rimasto appeso in bozza per così tanto tempo che ormai non so nemmeno se approvarne la pubblicazione... Ma visto che la cosa si riproporrà per l'anno a venire, tanto vale raccontare per bene le cose dal principio.

Per l'Anno Accademico 2021/2022 ho accettato un incarico di docenza per l'Università degli Studi di Pavia come professore a contratto in Informatica e Sicurezza Informatica per il Dipartimento di Giurisprudenza, all'interno del corso di laurea triennale in Scienze Giuridiche della Prevenzione e della Sicurezza.