Nell'articolo precedente abbiamo visto un assaggio delle funzioni di MD-NEXT per l' estrazione dati da dispositivi mobili. Hancom mette però a dsiposizione un secondo prodotto di acquisizione orientato a scenari di triage e live forensics, che si chiama infatti MD-LIVE.

Esame dei dispositivi mobili con MD-LIVE

Com'è logico che sia, il menù iniziale di MD-LIVE si aspetta che connettiamo un device. Nel frattempo ci chiede di compilare alcune informazioni preliminari sul caso, ci ricorda le istruzioni generali per stabilire una connessione ottimale col dispositivo e ci consente eventualmente di restringere l'attività al range temporale di nostro interesse:

L'azienda coreana Hancom ha sul mercato delle interessanti soluzioni in ambito digital forensics, in particolar modo per quanto riguarda la mobile forensics. Recentemente ho avuto per 30 giorni una trial di alcuni prodotti della serie MD dedicati proprio alle più importanti fasi della mobile forensics, ovvero MD-NEXT (estrazione), MD-LIVE (triage e live forensics) e MD-RED (analisi). Per ognuno dei tre software si potrebbe scrivere una ricca recensione a sè, tante sono le feature e le possibilità messe a disposizione dell'utente, ma per amor di fruibilità cercherò di riassumere il più possibile nei tre post che dedicherò alla suite, limitandomi agli aspetti più importanti e alle peculiarità che differenziano i prodotti dalla concorrenza.

Estrazione dati con MD-NEXT

Al primo avvio MD-NEXT presenta il pannello di configurazione, per definire alcuni parametri prima di iniziare a lavorare.

Recentemente ho voluto provare uno strumento alternativo ai più consueti e noti per la mobile forensics, mettendo sul banco di prova per una settimana SPF Pro: SmartPhone Forensic System Professional, prodotto da Salvationdata Technology. Purtroppo non è stata una mia scelta limitare il periodo di prova a soli 7 giorni, ma una scadenza decisa da Salvationdata. Sarebbe un tempo sufficiente se io mi dedicassi solo a questo, ma visto che ho un lavoro e i test li faccio nel mio poco tempo libero, in 7 giorni solari si fatica a trovare il tempo per dei test esaustivi... e infatti i miei non sono esaustivi, ma una panoramica posso comunque darla.

Come sostenevo alla fine del precedente TestDrive, tutti i maggiori strumenti di analisi forense disponibili sul mercato sono utili, ma nessuno di loro è perfetto, completo e infallibile, per cui è necessario massimizzare le capacità di intervento selezionando più strumenti possibile... a patto ovviamente che portino effettivamente un valore aggiunto all'arsenale digitale dell'analista.

Vediamo dunque se SPF può arricchire significativamente la strumentazione di laboratorio e valere l'investimento per l'acquisto e l'addestramento all'impiego.

Come molti altri tecnici del settore, recentemente ho avuto occasione di testare Belkasoft X, la rinnovata versione di Belkasoft Evidence Center.

I propositi del prodotto di punta di Belkasoft sono molto ambiziosi: un’unica soluzione per l’acquisizione, l’analisi e la presentazione delle evidence digitali, che possa assistere l’operatore nell’estrazione dati da memorie, dispositivi mobili e servizi cloud, e che possa analizzare il contenuto di immagini fisiche, filesystem, aree deallocate, archivi logici ecc. individuando e interpretando gli artefatti prodotti dal funzionamento dei sistemi operativi e dall’uso dei software applicativi di maggior diffusione.

In sintesi: la mitica soluzione all-in-one inseguita con alterne fortune da tanti produttori negli ultimi vent’anni.

Per il test ho utilizzato l’immagine forense di un PC Windows (prodotta dal fidato FTK Imager in formato EWF), l’estrazione fisica di uno smartphone Android Xiaomi operata da UFED4PC e le credenziali di un account Instragram. Successivamente ho incluso anche l’immagine binaria di un Samsung Galaxy.

Andiamo quindi al test drive...

La bella locandina che Marta Giangreco e Elena Arioli hanno realizzato per questo evento dice tutto: venerdì 16 novembre 2018 il Mensa Italia, in collaborazione con il Comune di Padova, ha organizzato una conferenza di cui sono stato protagonista, dedicata alle scienze forensi spettacolarizzate e al cosiddetto "effetto CSI", argomento a me caro e di cui ho spesso parlato in pubblico.

L'abstract grossomodo è lo stesso delle altre volte: la popolarità di alcune serie televisive ha condizionato la percezione del pubblico nei confronti delle scienze forensi e delle perizie scientifiche, causando un innalzamento delle aspettative che nella realtà non può essere soddisfatto come avviene sullo schermo.

Prendendo come caso emblematico l'informatica forense, ho condiviso con la platea la mia esperienza in fatto di indagini digitali cercando di far chiarezza tra mito e realtà, ricorrendo all'ausilio di esempi tratti da casi reali e mettendoli a confronto con sequenze di popolari film o serie TV.

HackInBo è diventato in pochi anni uno dei più importanti eventi sulla sicurezza informatica che si svolgono in Italia. Sabato 27 ottobre 2018 si è svolta l'undicesima edizione della conferenza, davanti a un'enorme platea di circa 1000 persone, a conferma del grande apprezzamento continuamente riconfermato dall'iniziativa di Mario Anglani.

Sono dunque tornato come relatore per parlare del sopralluogo informatico e della genesi del nuovo toolkit che ho assemblato per i sopralluoghisti della Polizia Scientifica: Bento.

Durante la mattinata è stata annunciata l'iniziativa HackInBoat, una "crociera hacker" che si svolgerà nel Mediterraneo a maggio 2019, in cui sarò nuovamente coinvolto come docente. Anche in questo caso l'entusiasmo del pubblico è stato tale da esaurire i biglietti disponibili nella prima mezz'ora dall'annuncio!

Un resoconto della giornata è stato pubblicato su Cyber Security, i video sono disponibili sul canale YouTube di HackInBo, incluso quello del mio intervento. Questo è stato il programma:

Rilancio il comunicato predisposto per l'imminente Italian Hacker Camp. In particolare, nell'ambito del camp coordinerò il Forensic Village, per cui sollecito la raccolta di proposte per quelli che saranno gli argomenti principali del village: mobile forensics, reversing, malware analysis, vehicle e IoT forensics, recupero dati. Ma va bene qualsiasi altro tema attinente, come ribadito sotto:

IHC2018 è l’hacker camp italiano che si terrà a Padova dal 2 al 5 di Agosto dove persone e community possono partecipare e proporre talk & workshop.
Lo spirito di IHC è la condivisione della conoscenza e dell’hacking attraverso un’occasione di aggregazione in un ambiente rilassato, inclusivo, rispettoso e open minded.
Registrati all’evento! https://pretix.eu/italianhackersembassy/ihc2018
 
== INGRESSO E COSTI ==
Chiunque può partecipare, previa registrazione.
Per sostenere le spese logistiche, normalmente altri hacker camp istituiscono un biglietto d’entrata che va dai 50 ai 250€, ma per dare a tutti la possibilità di partecipare, nello spirito di un evento comunitario abbiamo scelto di tenere il nostro camp autofinanziato, e quindi di mantenere l'ingresso, il posto tenda ed il parcheggio gratuiti.
 
Iscriviti https://pretix.eu/italianhackersembassy/ihc2018/
 
== CALL FOR CONTENTS: ==
IHC è costruito con i tuoi contenuti e con il tuo aiuto!
Invia entro il 6 Giugno la tua proposta per un talk, un’attività, un laboratorio o un’installazione artistica compilando il form su:
https://www.ihc.camp/programma/call-for-contents/#submitnow
Sono in topic:
* Computer Security
* Free Software / Open Knowledge
* Cryptography /  Privacy
* Digital Human Rights / Surveillance
* Programming Languages
* Computer / Network forensics
* Artificial Intelligence / Robotics
* Reverse engineering / Malware Analysis
* Hacktivism / Ethics
* Ham Radio / Software Defined Radio
* Making & Hardware hacking
* Digital Arts / Creativity
* Retrocomputing
 
== COMMUNITIES ==
Puoi partecipare al camp anche con la tua community!
Molte community parteciperanno a IHC, tra le quali: Italian Hackers' Embassy, HackInBo, Sikurezza.org, Mozilla Italia, Mes3hacklab, Muhack, Progetto Winston Smith, ISACA Venice Chapters, ARI mestre, CyberSaiyan, International Web Association Italia, FSUG Padova, Geekos OpenSuse Italia, Zanshin Tech, Hermes Center for Transparency and Digital Human Rights, Inclusive Hacker Framework (ex-ItalianGrappa), Owasp Italian Chapter, Transparency International Italia, Facebook-tracking-exposed, BitcoinPrivate, ...
 
== STAFF ==
Vuoi aiutare l’evento ad essere un’esperienza unica per tutti i partecipanti, oltre che per te? Diventa un volontario! https://www.ihc.camp/team/join/
 
--IHC2018 team

Sabato 4 novembre 2017, a Padova, durante l'ottima manifestazione Hack the Wire, ho presentato in anteprima la beta di DART 2018, lo strumento associato a DEFT Linux per le attività di live forensics e incident response.

La lista dei programmi inclusi in DART è stata interamente revisionata, dando alla suite uno spiccato orientamento verso le attività di sopralluogo informatico, ispezione informatica, perquisizone indformatica e accertamenti urgenti. Sono stati quindi rimossi tutti i software maggiormente inclini all'analisi, per privilegiare unicamente gli scopi di identificazione, rilievo, acquisizione e documentazione delle attività svolte.

Al fine di agevolare il lavoro di sopralluoghisti e first responder, ho cercato di privilegiare l'inclusione di strumenti automatizzati, utili a standardizzare, velocizzare e soprattutto semplificare i rilievi di evidenze digitali dai sistemi oggetto di indagine.

Il risultato è una collezione di oltre 300 programmi, utili su sistemi operativi Windows, Linux e Mac OSX. Il pacchetto è ancora in beta, anche se il grosso del lavoro orami è fatto e i risultati sono già apprezzabili. L'invito è a testare gli strumenti nel modo più esaustivo possibile e segnalarmi eventuali disfunzioni.

Detto questo, ecco il link da cui scaricare DART 2018 beta (517MB; MD5: 60a8291465e3b38f348328d64a2c9339)

Martedì 17 ottobre a Pavia sono stato ospite di un'iniziativa congiunta tra Mensa Lombardia e Italia Unita per la Scienza: una serata di divulgazione scientifica ospitata dalla birreria vichinga Valhalla e dedicata alle scienze forensi, dal titolo  "Effetto CSI: viaggio tra scienza forense e cybercazzole televisive".

Come sempre ho cercato di fare una corretta informazione scientifica su alcuni aspetti mitizzati dalla TV in merito alle scienze forensi in generale, con particolare riguardo all'informatica forense.

La serata si è poi conclusa con l'intrattenimento ludico a cura di Aerel.

La Provincia Pavese ha dedicato all'evento un buon articolo a firma di Gaia Curci, che ringrazio per l'interessamento e a cui perdono volentieri alcune imprecisioni di poco conto ;-)

Sta iniziando una nuova stagione di conferenze per il vecchio Rebus, che come sempre potete seguire (insieme ad altri interessanti eventi di settore) iscrivendovi al calendario degli Eventi Loschi.

• Sabato 7 Ottobre sarò a Crema per presenziare all’avvio annuale del corso di Sicurezza dei Sistemi e delle Reti Informatiche Online presso la Sede di Crema del Dipartimento di Informatica dell’Università di Milano. Parlerò di Cyber Threat Intelligence, con particolare riferimento all'uso delle fonti aperte nelle indagini di Polizia Giudiziaria. Dalle 11:00 alle 13:00 presso la Sede di Crema del Dipartimento di Informatica dell’Università di Milano (Via Bramante 65, Crema, CR).

• Sabato 14 ottobre sarò a Pescara, per la conferenza "Cybercrime vs Ethical Hacking" organizzata nell'ambito del Meeting autunnale del Mensa Italia. Parlerò di malware, botnet e underground economy, con un taglio spiccatamente divulgativo.

• Martedì 17 ottobre sarò a Pavia, per un'iniziativa congiunta tra Mensa Lombardia e Italia Unita per la Scienza: una serata di divulgazione scientifica ospitata dalla birreria vichinga Valhalla. A iniziare dalle ore 21.00, parlerò di  "Effetto CSI: viaggio tra scienza forense e cybercazzole televisive".

• Sabato 28 ottobre su tutto il territorio nazionale è Linux Day. Sarò a Pavia, nelle vesti di presidente del Nutria LUG, presso l'Aula del '400 dell'Università insieme ad amici ospiti come Yvette Agostini e Sergio Camici. Parlerò di come configurare Firefox per la navigazione sicura: salvaguardia della privacy e immunizzazione da buona parte dei malware concepiti per il web.

• Sabato 4 novembre sarò a Padova nell-ambito della nuova iniziativa Hack the Wire, ospitata presso la Fiera di Padova. Mi occuperò di animare l'area dedicata alla digital forensics, con il contributo dei migliori specialisti del settore che può vantare il Paese. Sto lavorando per riunire la squadra.

• Venerdì 24 novembre sarò di nuovo a Pavia, lusingato ospite del Collegio Ghislieri per l'annuale convegno di informatica giuridica, che quest'anno è dedicato all'uso della crittografia nelle comunicazioni mobili.

• Venerdì 1 dicembre dovrei infine essere a Torino per una serata dedicata a Bitcoin e suoi utilizzi in attività criminali. Ulteriori dettagli seguiranno.