Archivio della categoria: News

Open Source Day – 29 novembre 2014 – Udine

Segnaliamo con piacere che gli amici dell’AsCI, IGLU e DITEDI di Udine hanno nuovamente organizzato l’annuale l’Open Source Day a Udine, il 29 novembre 2014.

Anche quest’anno il programma del percorso Forensics è ricco di argomenti attuali e interessanti, presentati da alcuni tra i migliori professionisti del panorama italiano:

09:10 – 09:30: Introduzione percorso Forensics (Pubblico Ministero Procura Udine Sost. Proc. Dott. Andrea Gondolo)
09:30 – 10:15: Strumenti Open Source per OS Intelligence (Alessandro Rossetti)
10:30 – 11:15: Audio forensics e Open Source (Paolo dal Checco)
11:15 – 11:45: Coffee break
11:45 – 12:30: Autopsy and The Sleuth Kit (Luigi Ranzato)
13:30 – 14:15: Limiti e miti forensi. L’Open Source ci può salvare? (Nanni Bassetti)
14:30 – 15:15: AndLink per sopralluogo e repertazione (Marco Albanese)
15:45 – 16:30: Timeshark per la gestione delle supertimeline (Federico Grattirio)

Nel percorso Base B:
10:30 – 11:15: Sicurezza informatica e responsabilità sociale, l’importanza della consapevolezza (Andrea Zwirner)

Nel Percorso CMS Open Source (organizzato dal DITEDI):
09.30 – 10.15: Giovani, imprese e futuro digitale – L’Open Source al DITEDI (Simone Puksic)
11.45 – 12.30: Siti Web a norma di legge. Guida pratica agli aspetti legali dei CMS (Luca Zenarolla)

Vi invitiamo a iscrivervi qui, partecipate numerosi!

IISFA Memberbook 2013

E’ disponibile su Amazon da qualche settimana il memberbook 2013 dell’IISFA (International Information Systems Forensics Association).

Il libro raccoglie una serie di articoli in materia di Computer Forensics realizzati nell’ambito delle attività dell’IISFA, la prima e unica associazione italiana con focus specifico sulla Information Forensics.

Personalmente ho contribuito con un articolo su Facebook Forensics, frutto del lavoro svolto per tenere i seminari IISFA nel 2012 (su piattaforma Second Life) e nel 2013 (a Roma).

Argomenti: Intelligenza artificiale, acquisizione e valutazione della prova penale digitale. La tutela del diritto alla privacy del lavoratore e l’analoga tutela del diritto ad una valida gestione del personale da parte del datore di lavoro. Fondamento e criteri di imputazione della responsabilità dell’ente collettivo ex D. Lgs n. 231/2001. Cloud Storage Forensics. Facebook Forensics. Windows 8 Forensics. Elementi fondamentali nell’analisi dei sistemi SAP. Linee guida per l’autenticazione forense di immagini. Il Chip Off nella Mobile Forensics, metodologie e cenni normativi nella normativa italiana. Il contrasto alla criminalità informatica e la tutela della vittima: un approccio avanzato, scientifico, interdisciplinare.

In appendice è presente un “Saggio breve sul contrasto alla criminalità informatica e la tutela della vittima” a cura di Francesco Cajani e Walter Vannini.

Curatori: Gerardo Costabile, Antonino Attanasio, Mario Ianulardo.

Autori: Clementina Arcuri, Sebastiano Battiato, Francesco Cajani, Marcello Chiaberge, Davide D’Agostino, Paolo Dal Checco, Marco Alvise De Stefani, Giuseppe Dezzani, Mattia Epifani, Fausto Galvan, Michele Iaselli, Martino Jerian, Enrico Maria Massaro, Claudia Meda, Francesco Picasso, Andrea Piro, Matteo Salcuni, Fabio Sangiacomo, Marco Scarito, Walter Vannini, Rodolfo Zunino.

Seminario: Il Digital Forensics Expert e le aziende

Segnaliamo un nuovo evento in Friuli-Venezia Giulia, un seminario che terremo grazie al DITEDI, il Distretto delle Tecnologie Digitali.

Martedì 8 Aprile 2014 dalle 14:30 alle 18:30, presso il Knowledge Center DITEDI, Via l’Aquila, 1 a Tavagnacco (UD), parleremo di:

“Il Digital Forensics Expert e le aziende, introduzione e case study”

 “Le aziende impegnate nella tutela del proprio patrimonio intellettuale devono essere in grado, dopo un security incident, di ricostruire quanto avvenuto e preservare le prove affinché possano essere presentate in un processo giuridico. Per ottenere questi risultati vengono affiancate da un esperto di Digital Forensics. Qual è il suo ruolo? Come si interfaccia con il responsabile IT interno e con l’Autorità Giudiziaria? Lo vedremo assieme anche attraverso l’analisi di un caso pratico”.

Con l’ausilio di un caso pratico vedremo come si sviluppa la delicata attività del Digital Forensics Expert.
Il seminario non è rivolto solamente a coloro che sono interessati ad operare nel settore, ma anche alle figure che devono interfacciarsi con il Digital Forensics Expert (responsabili IT, manager e titolari d’azienda, Forze dell’Ordine e avvocati).
Sapere cosa fornirgli e cosa poter ottenere è fondamentale per la tutela del patrimonio intellettuale aziendale, l’indagine giudiziaria, la comprensione del security incident, ecc.

L’evento è gratuito, ma i posti sono limitati:

https://www.eventbrite.it/e/biglietti-digital-forensics-per-le-aziende-10408368711

Ringraziamo il DITEDI per l’attività organizzativa e gli eventi formativi e aggreganti che propone continuamente.

DeftCon 2014

Segnaliamo un’importante evento: la DeftCon 2014!

DEFT CONFERENCE 2014
11 aprile 2014, ore 9.30-17.00
Edificio 3 Gino Cassinis
Piazza Leonardo Da Vinci 32, Milano

 Moderatrice: Francesca Bosco, Tech and Law Center

Ore 9:30 – Saluti del Presidente DEFTA e introduzione alla conferenza
Stefano Fratepietro, Presidente Associazione No profit DEFT
Ore 9:45 – Presentazione delle principali novità di DEFT 8.1
DEFT dev team
Ore 10:30 – Digital Forensics sui dispositivi SSD
Stefano Zanero, Assistant Professor Politecnico di Milano
Ore 11:00 – Windows 8 e Windows Phone 8 Forensics
Mattia Epifani, Tech and Law Center

Ore 11:30 – Coffe Break

Ore 11:45 – Windows Shellbag Forensics
Luigi Ranzato
Ore 12:15 – The dark side of Digital Investigation
Giuseppe Vaciago, Tech and Law Center
Ore 12:45 – Metodologie di acquisizione di dispositivi Android
Marco Giorgi, DEFT team

Ore 13:15 – Pausa pranzo

Ore 14:00 – Stato dell’arte della computer forensics in Italia: formazione, percorsi di studio e spunti di ricerca
Giovanni Ziccardi, Professore associato Statale di Milano
Ore 14:30 – Anti-Malware in Cloud con Deft
Andrea Ghirardini, IISFA
Ore 15:00 – Electronic Evidence Guide – Traduzione Italiana delle linee guida del Consiglio d’Europa
Pasquale Stirparo, Tech and Law Center
Ore 15:30 – Nuovi strumenti a supporto delle indagini digitali
Marco Albanese e Federico Grattirio, studenti ricercatori UniPV

Side event organizzato dal Tech and Law Center
Ore 16:00 – Origini, stato attuale e prospettive future del protocollo Bitcoin e delle monete matematiche
Giacomo Zucco, consulente e Carola Frediani, giornalista

Ore 17:00 – Saluti finali e ringraziamenti

Grazie al Politecnico di Milano, quest’anno la location potrà ospitare fino ad un massimo di 270 persone. L’iscrizione all’evento è gratuita ma vi è data la possibilità al partecipante di poter fare una donazione al momento della prenotazione del posto a sedere mediante Eventbrite. Per le sole persone che faranno una donazione, l’associazione DEFTA vi regalerà due gadget a marchio DEFT.

Per le iscrizioni (gratuite):

https://www.eventbrite.it/e/biglietti-deftcon-2014-10473242751

Seminario “Controlli in azienda e nuove tecnologie”

Domani martedì 17 dicembre 2013, presso l’Ordine dei Dottori Commercialisti e degli Esperti Contabili di Udine, parteciperemo al seminario:

Controlli in azienda e nuove tecnologie: Tutela del know how o privacy del dipendente?

L’evento, in collaborazione con CINDI e DARNET, ha l’obiettivo di chiarire come tutelare il know how aziendale sia dal punto di vista tecnico che da quello giuridico. L’implementazione di sistemi di difesa e di controllo – quanto mai necessari – deve tener conto, infatti, di tutto quel quadro normativo volto a garantire  la riservatezza dei lavoratori.

Tutela del know how o privacy del dipendente?”: una domanda che tutti gli imprenditori si devono porre e a cui nel corso del seminario si cercherà di dare una risposta pratica e concreta.

I relatori saranno:

Avv. David D’Agostini
I reati informatici a danno delle aziende: responsabilità e risarcimento del danno.

Avv. Luca Zenarolla
I controlli dei dipendenti nell’era dei social network. Le prime decisioni dei tribunali e del Garante Privacy.

Marco Alvise De Stefani
Quando il pericolo è dentro l’azienda. Due casi reali: il dipendente infedele ed il dipendente lavativo.

Michele Della Marina e Dario Tion
Chi è il colpevole? Come garantire la sicurezza IT di un’azienda nel rispetto dell’attività dei lavoratori.

Luca Violino
Dinamiche delle principali minacce informatiche attualmente provenienti dall’ambiente esterno all’azienda.

Cerimonia di consegna dei primi Diplomi CAS in Digital forensics

Giovedì 2 dicembre ho partecipato assieme agli altri docenti alla cerimonia di consegna dei primi Diplomi CAS in Digital Forensics della SUPSI (Scuola universitaria professionale della Svizzera italiana).

A precedere la cerimonia due interessanti seminari di Davide D’Agostino e di Davide Gabrini, su “L’utilizzo della Computer & Mobile Forensics nelle indagini di polizia giudiziaria” eAntiforensics Mitigation nella vita reale”.

Dopo la cerimonia i festeggiamenti sono proseguiti a cena, dove di fronte a un’ottima Fondue Chinoise abbiamo chiacchierato con gli ex-alunni (e ora colleghi) del loro futuro e dei loro progetti.

Come sempre ho trovato una splendida atmosfera, complici gli altri docenti (tutti professionisti del settore, che hanno portato la loro esperienza sul campo) e i neo diplomati, che hanno seguito il percorso formativo con dedizione e voracità.

Complimenti anche all’ing. Alessandro Trivilini e allo staff della SUPSI per l’impegno e la serietà con cui hanno organizzato un corso di questa portata.

 

Rassegna stampa: Rebus’ Digest

Ad ogni corso, seminario o evento, i partecipanti chiedono come possono rimanere aggiornati nella Digital Forensics.
La nostra risposta è sempre la stessa:

Rebus’ Digest

Davide Gabrini, in arte The Rebus, gestisce da tempo una rassegna stampa come se ne vedono ben poche in giro.
Passando in rassegna decine di fonti, evidenzia tutte le notizie di particolare interesse (studi scientifici, guide, nuovi software, eventi, rumors, ecc.) inerenti la Digital Forensics o la sicurezza informatica.

Iscrivendovi alla sua newsletter (assolutamente gratuita) riceverete ogni giorno alle ore 10:00 un comodo riassunto di tutte le notizie evidenziate, con il link all’articolo originale.
In pochi secondi scorrendo la mail potrete individuare gli argomenti di vostro interesse (e comunque rimanere aggiornati sul resto, dato che spesso solo dal titolo si intuisce molto), con un risparmio di tempo incredibile.

Come sempre un grande ringraziamento a Davide Gabrini per questo prezioso servizio, oltrettutto gratuito!

Iscrivetevi!

P.S. Come se non bastasse, Gabrini gestisce anche un calendario condiviso con segnati i convegni, seminari o altri appuntamenti inerenti la Digital Forensics in Italia.
Si chiama EventiLoschi e lo potete trovare qui.

Open Source Day – 30 novembre 2013 – Udine

Segnaliamo un evento imperdibile per tutti i professionisti del settore (o anche solo per gli appassionati): l’Open Source Day a Udine il 30 novembre 2013.

L’organizzazione ha superato se stessa nello stilare un programma dedicato alla Digital Forensics di tutto rispetto:

10:00 – 10:15
Introduzione conferenzieri e progetto italiano D.E.F.T. 
(Pubblico Ministero Procura Udine Sost.Proc. Dott. Andrea Gondolo)

10:30 – 11:15
Wibbly wobbly timey wimey stuff. Uso delle timeline nell’analisi forense (Dott. Davide Gabrini aka Rebus)

11:15 – 11:45
Coffee break

11:45 – 12:30
Mobile Forensics con strumenti Open Source (Dott. Paolo Dal Checco)

13:30 – 14:15
OS Intelligence (Dott. Alessandro Rossetti aka Sitticus)

14:30 – 15:15
Il problem solving nella digital forensics tramite strumenti open source (Dott. Nanni Bassetti)

Segnaliamo inoltre nel percorso Security l’intervento dell’avv. David D’Agostini:

14.30 – 15.15
Aspetti legali dell’information security: data breach e responsabilità giuridiche (Avv. David D’Agostini)

Vi invitiamo a iscrivervi al sito http://www.opensourceday.org/2013/?mid=3 e a partecipare numerosi, queste iniziative sono rare in regione e vanno premiate con una grande affluenza.

Ci vediamo sabato 30 novembre al percorso Forensics dell’Open Source Day!

Corso intensivo Digital Forensics

E’ terminato un nuovo corso intensivo di una settimana con lo scopo di rifinire la professionalità di una nuova azienda che si è dotata di un laboratorio estremamente valido dedicato alla Digital Forensics.

Nei due giorni che mi hanno visto impegnato nella docenza abbiamo introdotto la Digital Forensics nelle sue fasi principali, evidenziando le diverse professionalità richieste e suggerendo numerosi accorgimenti frutto di anni di esperienza sul campo.
La fasi di identificazione, acquisizione e conservazione sono state sviscerate e analizzate nei dettagli, con particolare cura per le delicate attività di live forensics.
Sono state analizzate le diverse modalità di copia forense, in particolare di sistemi complessi e valutando ogni mezzo a disposizione (write blocker hardware, duplicatori, distribuzioni Linux quali Deft, l’utilizzo della LAN, ecc.).
Abbiamo trattato in dettaglio alcuni argomenti specifici di grande interesse e attualità, quali Facebook, Cloud Forensics, gli ambienti virtualizzati, l’analisi del Malware, ecc.
Le ultime ore sono state dedicate a suggerimenti su come redigere una relazione scritta efficace e a come comportarsi in udienza.

Con queste basi forti e assodate, i restanti docenti hanno potuto affrontare in dettaglio temi relativi all’analisi in laboratorio, come il partizionamento, i file system più diffusi (NTFS, FAT, EXT, HFS+, ecc.), data recovery, windows e mac forensics, antiforensics, mobile forensics con particolare attenzione per iOS e Android, e l’utilizzo della suite FTK.

Come negli altri eventi passati, ho avuto la fortuna di lavorare con studenti che si sono rivelati professionisti appassionati, disponibili e affamati di conoscenza, con molta soddisfazione anche per noi docenti.

Velocità di copia (X-Ways Forensics vs FTK Imager)

In queste settimane alcuni articoli hanno parlato nuovamente dei confronti tra le velocità di copia eseguite con diverse modalità o software.
L’argomento periodicamente ritorna alla ribalta, ed è un bene: l’attività di copia forense rappresenta un impegno importante per il Digital Forensics Expert o per le Forze dell’Ordine. Ogni ora risparmiata è un’ora in più che il professionista può dedicare ad attività più impegnative e interessanti, come l’analisi della copia prodotta.

Come è buona prassi nella Digital Forensics, anche noi a suo tempo abbiamo testato in laboratorio i tool menzionati, per verificare quanto suggerito dai vari articoli.

Riportiamo un confronto risalente ormai a quasi due anni fa e ci ripromettiamo di eseguire nuovi test per verificare se le nuove versioni dei tool hanno comportato migliorie e ribaltamenti nella classifica.

Strumentazione hardware

Supporto da copiare: Hard disk da 2.5” TOSHIBA MK5061GSYN da 500 GB
Workstation utilizzata per la copia: CPU e RAM sovradimensionati, tutto collegato in eSATA
Write blocker: TABLEAU T35es
Supporto di destinazione: RAID 0

In sintesi l’unico collo di bottiglia è il bus del disco sorgente, e la strumentazione ha potenza di calcolo più che sufficiente.

Software utilizzati

Ai fini di questo resoconto citeremo solo i risultati dei due maggiori competitor: X-Ways Forensics (o meglio WinHex) e FTK Imager.
Le versioni utilizzate:

WinHex 16.2 SR-7
FTK Imager 3.0.1.1467

Entrambi i software sono stati configurati per creare una copia in formato EWF in un unico file non segmentato con compressione standard, calcolarne l’hash SHA-1 (FTK anche l’MD5, in quel periodo X-Ways non supportava il calcolo contemporaneo di due hash) e verificare la copia prodotta.
Premettiamo che il file ottenuto aveva dimensioni comparabili.

Il risultato

Long story short:
FTK Imager: Acquisizione 4:37 ore, verifica 0:57 ore
WinHex: Acquisizione 1:56 ore, verifica 0:52 ore

WinHex vince con 2 ore e mezza di distacco!
Due ore e mezza risparmiate nella copia di un singolo disco, quindi è facile capire la portata del vantaggio acquisito durante attività pesanti di copia che coinvolgono numerosi dischi.

La spiegazione

Quale può essere il motivo di un simile abissale divario prestazionale?
Abbiamo una struttura hardware assolutamente identica, quindi la motivazione deve risiedere nel software.
Teniamo momentaneamente la soluzione in sospeso e lasciamo spazio ai commenti 🙂 .

Il futuro

Data l’enorme evoluzione dei software negli ultimi 2 anni, ci ripromettiamo di eseguire una nuova serie di test nei prossimi mesi e di verificare se le prestazioni dei software sono modificate, in meglio o in peggio.

Concludiamo allegando i log delle due operazioni.

WinHex

17/01/2012, 21.30.32
WinHex 16.2 SR-7
Create Disk Image

Computer: ##########
User: ##########

Source: Hard disk 4
Sectors 0-976773167
Destination: F:\images\HD_05c\HD_05.e01
Model: TOSHIBA MK5061GSYN
Serial No.: ##########
Firmware Rev.: 9999
Bus: RAID

Total capacity: 500.107.862.016 bytes = 466 GB

Bytes per sector: 512
Sector count: 976.773.168
Windows disk signature: ##########
Unpartitionable space: 2.048 Sectors 
ATA password protection: not supported
SMART: n/a (Funzione non corretta.)
Partitioning style: MBR

Partition 1
Sectors 2.048 - 409.599
Partition table: Sector 0
File system: NTFS
Name: SYSTEM
Total capacity: 208.666.624 bytes = 199 MB
Sector count: 407.552
Bytes per sector: 512
Bytes per cluster: 4.096
Free clusters: 43.677 = 86% free
Total clusters: 50.943
NTFS version: 3.1
Volume flags: 0x0000

Partition 2, lost
Sectors 2.049 - 409.600
Partition table: Sector 1
File system: NTFS
Total capacity: 208.666.624 bytes = 199 MB
Sector count: 407.552
Bytes per sector: 512
Bytes per cluster: 4.096
Free clusters: 0 = 0% free
Total clusters: 116.847.359

Partition 3
Sectors 409.600 - 935.188.479
Partition table: Sector 0
File system: NTFS
Total capacity: 478.606.786.560 bytes = 446 GB
Sector count: 934.778.880
Bytes per sector: 512
Bytes per cluster: 4.096
Free clusters: 104.950.557 = 90% free
Total clusters: 116.847.359
NTFS version: 3.1
Volume flags: 0x0000
Volume GUID: ##########

Partition 4
Sectors 935.188.480 - 976.560.127
Partition table: Sector 0
File system: NTFS
Name: RECOVERY
Total capacity: 21.182.283.776 bytes = 19,7 GB
Sector count: 41.371.648
Bytes per sector: 512
Bytes per cluster: 4.096
Free clusters: 752.661 = 15% free
Total clusters: 5.171.455
NTFS version: 3.1
Volume flags: 0x0000
Volume GUID: ##########

Partition 5
Sectors 976.560.128 - 976.771.119
Partition table: Sector 0
File system: FAT32
Name: HP_TOOLS
Total capacity: 108.027.904 bytes = 103 MB
Sector count: 210.992
Usable sectors: 202.800
First data sector: 8.192
Bytes per sector: 512
Bytes per cluster: 1.024
Free clusters: 94.057 = 93% free
Total clusters: 101.400
FAT1 = FAT2
Volume label date: 13/02/2011  01.05.18
Clean shut down: Yes
I/O error-free: Yes

Unused inter-partition space:
Sectors 0 - 2.047 (1,0 MB)
Sectors 976.771.120 - 976.773.167 (1,0 MB)
= 2,0 MB

Hash of source data: AB886E69B38DE50647C8A6A2AD78B32FDE7EFA32 (SHA-1)

17/01/2012, 23.26.39,3
Imaging completed. Duration: 1:56:06 h
Image consisting of 1 segment(s).
4.108 MB/min

Compression ratio: 86%

SMART: n/a (Funzione non corretta.)

18/01/2012, 00.19.45,4
Hash re-computed: AB886E69B38DE50647C8A6A2AD78B32FDE7EFA32
Data authenticity OK
Duration: 0:52:58 h
9.002 MB/min

1:56:06 h + 0:52:58 h = 2:49:05 h

FTK Imager

Created By AccessData® FTK® Imager 3.0.1.1467 110406

Case Information: 
Acquired using: ADI3.0.1.1467
Case Number: ########## 
Evidence Number: ########## 
Unique Description: ##########
Examiner: ########## 
Notes: ########## 

--------------------------------------------------------------

Information for F:\images\HD_05b\HD_05:

Physical Evidentiary Item (Source) Information:
[Drive Geometry]
 Cylinders: 60.801
 Tracks per Cylinder: 255
 Sectors per Track: 63
 Bytes per Sector: 512
 Sector Count: 976.773.168
[Physical Drive Information]
 Drive Model: TOSHIBA MK5061GSYN SCSI Disk Device
 Drive Serial Number:           ##########
 Drive Interface Type: SCSI
 Source data size: 476940 MB
 Sector count:    976773168
[Computed Hashes]
 MD5 checksum:    02277cf9447ecf9183f7b70f9025e7d7
 SHA1 checksum:   61d71e7742d48033b01f2f93b802af7e0d0957c1

Image Information:
 Acquisition started:   Tue Jan 17 11:47:18 2012
 Acquisition finished:  Tue Jan 17 17:34:28 2012
 Segment list:
  F:\images\HD_05b\HD_05.E01

Image Verification Results:
 Verification started:  Tue Jan 17 17:34:37 2012
 Verification finished: Tue Jan 17 18:31:31 2012
 MD5 checksum:    02277cf9447ecf9183f7b70f9025e7d7 : verified
 SHA1 checksum:   61d71e7742d48033b01f2f93b802af7e0d0957c1 : verified