Ott 04

Seminario sulla Digital Forensics e le Investigazioni Digitali ad Amelia

Venerdì 20 ottobre 2017 dalle ore 09:15 alle 17:30 si terrà ad Amelia il seminario aperto a tutti dal titolo “La Digital Forensics: coordinamento, metodologia, tecnologia e potenzialità”. L’ingresso riservato con invito o previa registrazione tramite sito EventBrite entro il 17 ottobre 2017. La locandina dell’evento è scaricabile da questo link.

Si ringrazia l’Associazione Nazionale Carabinieri. Sarà rilasciato attestato di partecipazione e 8 crediti formativi cpe. L’evento è accreditato c/o consiglio Ordine Avv. di Terni che riconoscerà 2 crediti formativi ai partecipanti ed anche accreditato c/o Ordine Ing. di Terni che riconoscerà 6 crediti formativi e sarà svolto con il Patrocinio della Città di Amelia.

E’ disponibile parcheggio riservato in Piazza Vera per relatori e autorità, Centro Storico, Ingresso da Via della Repubblica – Porta Romana.

Programma

Sessione del mattino

  • Introduzione alla 3a edizione della manifestazione
  • Saluti istituzionali e di rappresentanza
  • “L’analisi dei tabulati e delle celle telefoniche nelle indagini giudiziarie” – Ing. Paolo Reale digital forensics analyst – presidente onif – presidente commissione informatica dell’ordine ingegneri di Roma
  • “il modello olandese: nrgd (netherlands register of court experts)” – Dott. Mattia Epifani consulente di informatica forense e socio fondatore ONIF
  • Coffee Break
  • “Evoluzione e trend della digital forensics in italia” – Tenente Colonnello. Marco Mattiucci esponente arma dei carabinieri RACIS / RTI – (RM)
  • “Indagini telematiche nel dark web” –  Capitano Giuliano Latini Guardia di Finanza – nucleo speciale frodi tecnologiche di Roma
  • “Evoluzione della Digital Forensics: esperienza operativa”, Sovrintendente Capo Antonio Deidda della Polizia di Stato
  • “La consulenza informatica tra giurisprudenza e dogma” – avv. Daniele Fabrizi – penalista del Foro di Roma
  • Pausa Pranzo

Sessione pomeridiana: prove pratiche investigative

  • “Copia forense con protocollo ISCSI” – Massimiliano Graziani – CFIP CFE CIFI OPSA ACE CDFP – socio fondatore ONIF
  • “Autopsia di una relazione tecnica sbagliata e metodo scientifico nella digital forensics”  – dott. Nanni Bassetti project manager progetto CAINE – consulente di informatica forense, socio fondatore ONIF
  • “ACQUISIZIONE FORENSE DI CONTENUTI ONLINE CON LEGAL EYE” –  Francesco Cossettini
  • Coffee Break
  • Chiusura dei lavori : Dott.ssa Lucia D’Amico – Analisi investigativa e sicurezza informatica – ONIF – a.n.c.

Apr 27

Evento ONIF il 16/maggio/2017 a Roma

Il 16 maggio 2017 ONIF terrà un convegno presso la Camera dei Deputati nella Sala Salvadori – via Uffici del Vicario, 21 – Roma dalle 10:00 alle 13:30 e successivamente nel pomeriggio ci sarà l’assemblea dei soci ONIF presso l’Hotel Mondial – Via Torino, 127 – Roma dalle 14:30 alle 18:00.

Il titolo del convegno è:

L’irrinunciabile valorizzazione dell’informatica forense e delle competenze dei consulenti


10:00 Saluti iniziali – Ing. Carla Cappiello, Presidente Ordine degli Ingegneri della Provincia di Roma

Introduzione alle scienze forensi e i suoi esperti  Dr.ssa Immacolata Giuliani criminologa

10:15 Presentazione dell’associazione ONIF e della survey 2015 sulla professione di informatico forense – Ing. Paolo Reale Presidente ONIF Presidente commissione informatica dell’Ordine Ingegneri di Roma

10:40 Informatica forense come scienza forense Analogie e diversità con altre scienze; ambiti di applicazione; prospettive; problematiche frequenti  – Dott. Nanni Bassetti Project manager progetto. CAINE Consulente di informatica forense e socio fondatore ONIF.

11:05 L’informatica forense nel sistema giudiziario: necessità di un cambio di prospettiva Presentazioni delle criticità riscontrate quotidianamente, con particolare riferimento alle figure professionali coinvolte e alle modalità di remunerazione degli incarichi  – Dott. Alessandro Borra Socio fondatore ONIF e consulente informatica forense.

11:30 Il modello olandese: NRGD (Netherlands Register of Court Experts) Già da diversi anni il governo olandese ha istituito un registro nazionale degli esperti in diversi ambiti delle scienze forensi. Tale registro è gestito dal governo e utilizzato da giudici, pubblici ministeri e avvocati per la scelta del consulente  – Dott. Mattia Epifani  Consulente di informatica forense e socio fondatore ONIF.

11:55 “il riconoscimento delle competenze del tecnico forense nel processo penale” – Gen. Umberto Rapetto già Comandante del Gruppo Anticrimine Tecnologico della Guardia di Finanza, giornalista e scrittore

12:20 Intervento conclusivo di un rappresentante della commissione giustizia
I progetti di legge in discussione e il ruolo della Commissione Giustizia
  – On. Avv. Giuseppe Berretta Membro della Commissione Giustizia della Camera

Tutti gli altri dettagli li potete vedere nella locandina.

Per prenotare il vostro posto a sedere, sino ad esaurimento, cliccate qui:

https://www.eventbrite.it/e/biglietti-lirrinunciabile-valorizzazione-dellinformatica-forense-e-delle-competenze-dei-consulenti-33863247886

 

Per prenotare il posto per l’assemblea RISERVATA SOLO AI SOCI ONIF, cliccate qui:

https://www.eventbrite.it/e/biglietti-assemblea-dei-soci-onif-33863408366

Mag 27

ONIF Day 2016 a Roma

Il 28 aprile 2016 si è tenuto a Roma il primo evento pubblico dell’Osservatorio Nazionale d’Informatica Forense, organizzato con la collaborazione dell’Ordine degli Ingegneri e dell’Ordine Avvocati di Roma. Un’ampia partecipazione di pubblico ha dimostrato l’interesse di diverse categorie di Professionisti nell’attività dell’Osservatorio, come dimostrano le foto della giornata, visionabili integralmente nella photo gallery del sito.

ONIF Day 2016 a Roma

Durante l’evento sono stati presentati i principali risultati emersi dalla survey sulla figura dell’informatico forense in Italia, che possono essere anche visionati nella presentazione qui allegata.

Le slide proiettate durante la giornata di conferenza sono disponibili pubblicamente sull’account Slidedhare dell’Osservatorio Nazionale d’Informatica Forense e vengono riportate, per comodità, qui sotto.

 

 

Apr 18

Evento ONIF 28/aprile/2016 a Roma

EVENTO-ONIF-v2

Il 28 aprile 2016 si terrà a Roma il primo evento pubblico dell’Osservatorio Nazionale d’Informatica Forense, organizzato con la collaborazione dell’Ordine degli Ingegneri e dell’Ordine Avvocati di Roma.

La sessione mattutina ospiterà, dalle ore 10:00 alle 13:00, l’Assemblea Annuale riservata ai soli soci ONIF, presso il Bes Western Hotel Mondial, in Via Torino 127, Roma. Durante la sessione mattutina verranno presentate le iniziative svolte da ONIF nel suo primo anno di attività, dalla fondazione a oggi, il bilancio economico 2015-2016, il sito web, le mailing list, varie ed eventuali.

La sessione pomeridiana, che si terrà dalle ore 14:30 alle ore 18:30, intitolata “Il consulente tecnico informatico nel processo”, tratterà della necessità di comprendere il valore di una competenza sempre più utilizzata ma non adeguatamente valorizzata. La sessione pomeridiana si terrà in Sala Pastorelli, in Via Genova, 3/a, Ministero dell’Interno c/o Dip. Vigili dei Fuoco.

Evento ONIF 2016

 

Il moderatore della sessione pomeridiana dell’evento ONIF sarà il Dott. Giuseppe Latour, Giornalista de “Il Sole 24 Ore”, che introdurrrà una sessione di interventi presieduta da:

  1. Dott. Ing. Carla Cappiello – Presidente Ordine degli Ingegneri della Provincia di Roma
  2. Dott. Ing. Marco Ghimenti – Comandante Nucleo Provinciale VV.FF. Roma
  3. Ing. Paolo Reale – Presidente ONIF e Presidente commissione informatica dell’Ordine Ingegneri di Roma
  4. Dott. Mattia Epifani – Ricercatore presso ITTIG (CNR) e Consulente di informatica forense
  5. Dott. Nanni Bassetti – Project manager di CAINE e Consulente di informatica forense.
  6. Dott. Eugenio Albamonte – Pubblico Ministero presso la Procura di Roma Componente del pool per il contrasto alla criminalità informatica ed al cyber terrorismo
  7. Avv. Guglielmo Lomanno – Referente per l’informatica del Consiglio dell’ Ordine degli Avvocati di Roma

Dopo un breve coffee break, si terrà il talk del Dott. Michele Ferrazzano, Ph.D. – Professore a contratto di informatica forense Università di Bologna seguito da una tavola rotonda moderata dal Dott. Sabrina Scampini – Giornalista e conduttore TV che vedrà il Dott. Ing. Carla Cappiello, il Gen. Umberto Rapetto, l’Avv. Guglielmo Lomanno, l’Ing Paolo Reale e il Dott. Eugenio Albamonte discutere dell’argomento  “La prova scientifica nel processo: chi è l’esperto forense?“.

 

Per iscrizioni, utilizzare i seguenti link su Eventbrite:

 

Mar 18

Apple Vs FBI, Analisi Tecnica

FBI Vs. Apple e l'iPhone di San BernardinoNelle ultime settimane il caso del iPhone del terrorista di San Bernardino ha alimentato discussioni tecniche, giuridiche e sociali sulla risposta che Apple deve fornire al FBI.

Non si vuole qui entrare nel merito del problema, cioè se la richiesta del FBI abbia motivazioni di ‘ordine superiore’ o se le ragioni di protezione della riservatezza di Apple siano giuste e invalicabili. L’associazione ONIF, come osservatorio che racchiude alcuni dei principali e noti tecnici italiani d’informatica forense, vuole fare chiarezza su quelle che sono le attuali possibilità e i limiti in termini di acquisizione dei dati da dispositivi mobile Apple con sistema operativo iOS, anche e soprattutto per puntualizzare alcuni aspetti tecnici erroneamente trattati e approfonditi da diversi media.

Gli iPhone/iPad sono davvero sistemi così sicuri da non poter estrarre informazioni senza che l’utente fornisca le credenziali di accesso?

La risposta dipende dagli strumenti e dalle metodologie che si hanno a disposizione, ma anche e soprattutto dal modello di iPhone/iPad e dalla versione del sistema operativo iOS installato. Gli ultimi modelli hanno sistemi di protezione (crittazione dei dati, impronta digitale, passcode e cancellazione totale dopo 10 immissioni errate del codice) che attualmente pongono severe limitazioni all’accesso ai dati.

È stato chiesto ad Apple di creare una backdoor[1] per accedere ai dati criptati?

No. Non è stato richiesto ad Apple di creare una backdoor. Ad Apple è stato chiesto di sviluppare una versione del sistema operativo iOS che:

  • non cancelli i dati presenti sull’iPhone dopo 10 tentativi errati di inserimento del PIN
  • permetta all’FBI di effettuare infiniti tentativi di inserimento del PIN senza che il sistema introduca ritardi e/o tempi di attesa tra un tentativo ed il successivo.

Le attuali versioni di iOS non presentano queste caratteristiche ovviamente, e Apple dovrebbe crearne una ad-hoc e renderla funzionante solo sul dispositivo oggetto di accertamento (un iPhone 5C).

È stato chiesto ad Apple di decifrare i dati crittati dell’iPhone?

No. Tale operazione è possibile solo disponendo della password di cifratura. O mediante una backdoor prevista originariamente da Apple (che non risulta essere esistente).

È stato chiesto ad Apple di tentare la decifratura dei dati staccando il chip di memoria dell’iPhone (c.d. chip-off)?

No. L’operazione di chip-off è sempre rischiosa. Inoltre la procedura non porterebbe beneficio perché la crittografia utilizzata sui dispositivi Apple avviene a più livelli: una chiave legata all’hardware (cioè alla parte fisica all’iPhone) e una alla password scelta dall’utilizzatore. Una tecnica proposta negli ultimi giorni da Edward Snowden consiste nell’utilizzo di acidi e laser per estrarre la chiave legata all’hardware[2]. Tuttavia questa tecnica, oltre a essere molto pericolosa e invasiva sul dispositivo, non è mai stata dimostrata in pratica fino ad oggi.

La questione tecnica di accesso a iPhone/iPad

In merito al recupero di dati da un dispositivo Apple (c.d. acquisizione) si distinguono principalmente due casi: acquisizione fisica e acquisizione logica. La scelta del metodo di acquisizione dipende dal tipo dispositivo e dalla versione di iOS.

In linea generale sui dispositivi iOS si distinguono due tipologie di acquisizione:

  • Fisica, ovvero la generazione di una immagine bit-stream della memoria interna
  • Logica, che può essere realizzata con tre modalità:
    • Backup, ovvero un tradizionale backup realizzato attraverso iTunes o libreria analoghe
    • Apple File Conduit, ovvero il protocollo di trasferimento file tra computer e dispositivo. Per fare un esempio è il protocollo che permette l’accesso diretto alle fotografie e ai video salvati nel dispositivo
    • Apple File Relay, ovvero un altro protocollo di trasferimento file il cui utilizzo per modalità forensi è stato introdotto da Zdziarski nel 2014

Per tutti i dispositivi fino ad iPhone 4 e per la prima versione di iPad è sempre possibile effettuare una acquisizione fisica, anche se il dispositivo è protetto con un passcode. Se il dispositivo è senza codice di blocco o se è bloccato con un codice che può essere violato in un tempo ragionevole, allora è possibile decifrare tutti i dati contenuti nella bit-stream image generata. Se non è possibile fare il cracking del codice non è possibile decifrare alcuni dati (es. i messaggi di posta elettronica all’interno dell’applicazione Apple Mail) ma si possono sicuramente decifrare tutte le informazioni delle applicazioni native (rubrica, SMS/MMS, immagini, video, cronologia di navigazione, ecc.). A partire da iPhone 4s non sono note tecniche per una acquisizione fisica del dispositivo, a meno di attività invasive (ovvero jailbreaking).

Sui dispositivi successivi ad iPhone 4s, quindi, si procede tipicamente con acquisizioni di tipo file system. Se il dispositivo è privo di codice di blocco è sempre possibile effettuare una acquisizione di parte del file system e la tecnica del backup può essere applicata su qualsiasi dispositivo, indipendentemente dalla versione del sistema operativo installato. Questo tipo di acquisizione può essere effettuata sia utilizzando direttamente iTunes sia con software opensource (es. libimobiledevice) sia con software commerciali (es. UFED Physical Analyzer, Oxygen Forensics, ecc.). La possibilità di estrarre i dati mediante backup non significa in assoluto poterli interpretare, ad esempio l’utente potrebbe aver impostato una password sul backup: in questo caso è necessario effettuare, a seguito dell’acquisizione, una attività di attacco sulla password. Il vantaggio sta nella possibilità di effettuare tale attacco “offline” (ovvero non sul dispositivo) e quindi sfruttare quanta più potenza computazionale possibile. In alternativa all’acquisizione attraverso backup si possono utilizzare le altre due tecniche. L’acquisizione attraverso Apple File Conduit produce diversi risultati in funzione della versione del sistema operativo: fino ad iOS 8.3 è possibile estrarre tutti i file multimediali (ivi compresa la musica di iTunes, non presente all’interno del backup) e le applicazioni di terze parti, da iOS 8.3 l’accesso alle applicazioni di terze parti attraverso questa modalità è stata inibita da Apple. L’acquisizione attraverso Apple File Relay è utilizzabile su tutti i sistemi operativi fino ad iOS 7.1.2 e permette di ottenere una acquisizione dei dati in chiaro, indipendentemente dalla presenza di una password di backup sul dispositivo.

Se il dispositivo è, invece, protetto da un codice di blocco è necessario distinguere in modo più granulare i diversi possibili scenari.

Il primo aspetto è lo stato del dispositivo al momento del sequestro/consegna, ovvero se acceso o spento.

Nel caso di dispositivo acceso possiamo avere tre ulteriori scenari:

  • dispositivo sbloccato, ovvero completamente accessibile
  • dispositivo bloccato ma già sbloccato almeno una volta
  • dispositivo bloccato con codice non ancora inserito dal momento dell’accensione.

L’ultimo caso equivale, in sostanza, a quello del dispositivo spento.

Nel primo caso è necessario impedire che il dispositivo possa andare in stato di blocco e comunicare con l’esterno: è quindi necessario disattivare il blocco automatico e attivare la modalità aerea. A questo punto è necessario procedere con l’acquisizione nel tempo più rapido possibile, avendo cura di non far scaricare il dispositivo e di non fare click sul tasto fisico di blocco (superiore o laterale a seconda del dispositivo).

Nel secondo caso è necessario tenere il dispositivo acceso, anche attraverso batterie ausiliarie e, ove possibile, attivare la modalità aerea (es. attraverso il Control Center attivabile mediante slider dal basso). Bisogna quindi ricercare all’interno di un computer utilizzato per sincronizzare il dispositivo un file di pairing (noto anche come certificato di Lockdown) e utilizzarlo per estrarre i dati attraverso una delle modalità di acquisizione già illustrate. E’ necessario evidenziare che, a partire da iOS 8, il file di pairing è valido solo se il dispositivo è stato sbloccato almeno una volta nelle ultime 48 ore.

Nell’ultimo caso è ulteriormente necessario distinguere a seconda del tipo di dispositivo e del sistema operativo installato.

Se il sistema operativo è iOS 7 ed è disponibile un certificato di lockdown è possibile utilizzare le modalità Apple File Relay e Apple File Conduit ed estrarre parte del file system.

Se il sistema operativo è iOS 7 e non è disponibile un certificato di lockdown si possono utilizzare soluzioni software e hardware per effettuare un attacco bruteforce sul passcode del dispositivo. Esempi di queste soluzioni sono UFED User Lock Code Recovery Tool e IP-BOX. E’ necessario evidenziare che, nel caso sia attiva la funzionalità di wiping del dispositivo dopo 10 inserimenti errati, questi strumenti rischiano di compromettere definitivamente la possibile acquisizione del dispositivo.

Se il sistema operativo è iOS 8 è disponibile un certificato di lockdown è possibile utilizzare la modalità Apple File Conduit, ma con una limitata quantità di informazioni estraibili (es. iBooks, cartelle condivise delle applicazioni attraverso Apple File Sharing, lista delle applicazioni installate, ecc.).

Se il sistema operativo è fino ad iOS 8.1 e non è disponibile un certificato di lockdown è possibile utilizzare, con necessità di apertura fisica del dispositivo, IP-BOX. Valgono le analoghe considerazioni espresse prima in relazione al rischio di wiping del dispositivo.

Se il sistema operativo è una qualunque versione di iOS 8 e il dispositivo è con processore a 32 bit (iPhone 4s/5/5c, iPad 2/3/4, iPad Mini 1), allora è possibile utilizzare il servizio offerto dalla società Cellebrite attraverso il CAIS[3] che permette di ottenere il codice di blocco[4] del dispositivo.

Se il sistema operativo è successivo ad iOS 8.1 e il dispositivo è a 64 bit, non sono note tecniche per il bruteforce del passcode, così come non sono note tecniche per qualsiasi tipo di dispositivo con sistema operativo iOS 9. Per questo motivo in caso di dispositivi spenti e con codice di blocco non è possibile allo stato attuale recuperare alcun tipo di informazione utente.

E’ utile evidenziare due ulteriori modalità per ottenere informazioni relative all’utilizzo di un dispositivo iOS: accedere all’account iCloud e verificare la presenza di backup del dispositivo oppure ricercare backup del dispositivo su computer che siano stati utilizzati per sincronizzare il dispositivo. Nel primo caso è necessario conoscere le credenziali dell’utente, oppure estrarre un token di autenticazione da un computer in cui sia installato il software iCloud Control Center oppure richiedere direttamente il supporto ad Apple. Nel secondo caso è sufficiente ricercare nella cartella dove tipicamente sono contenuti i backup (variabile a seconda della versione del sistema operativo installato sul computer) e ricercare il backup corrispondente all’identificatore univoco del dispositivo (UDID).

Giova inoltre ricordare che le informazioni sul dispositivo (es. tipo, colore, nome del dispositivo, versione del sistema operativo, UDID, Mac Address Wi-Fi) possono essere estratti anche da dispositivi bloccati utilizzando il tool ideviceinfo contenuto all’interno di libimobiledevice.

Conclusione

Abbiamo organizzato il presente intervento con una serie di domande/risposte che identificano i termini della questione FBI-Apple e una sezione di approfondimento tecnico che descrive più in dettaglio le modalità ed il tipo di informazioni che è possibile estrarre da un iPhone/iPad all’attuale stato dell’arte.

Dal punto di vista puramente tecnico, Apple è in grado di soddisfare le richieste avanzate dal FBI.

 


 

[1] Cos’è una backdoor? Si tratta di un punto di accesso ai dati riservata che permette di superare tutti i meccanismi di sicurezza del sistema.

[2] http://kticradio.com/abc_national/san-bernardino-iphone-can-be-hacked-without-apple-researchers-say-abcid35617143/

[3] http://www.cellebrite.com/it/Pages/services

[4] http://www.cellebrite.com/Pages/cellebrite-solution-for-locked-apple-devices-running-ios-8x

Apr 17

Intervento socio ONIF presso AICA Nord-Est

  • 27 Aprile 2015 ore 16:45 – presso l’Università degli Studi di Udine Polo Scientifico dei Rizzi (via delle Scienze, 208) – Aula 11AICA

L’investigazione digitale: Metodologie tecnologiche di intervento in casi di un incidente informatico aziendale, come acquisire, preservare e documentare la fonte di prova.

Lunedì 13 aprile 2015 dalle ore 16:45 alle ore 19:00 presso l’Università degli Studi di Udine Polo scientifico dei Rizzi – Aula 11 si svolgerà il seminario sull’investigazione digitale.
Il seminario è stato organizzato da AICA nord-Est in collaborazione con ISACA Venice, l’Ordine degli Ingegneri Provincia di Udine, AICQALSI pressol’Università degli studi di Udine.
Relatore: Luigi Nicotera, Digital Forensics Expert e socio fondatore dell’Osservatorio Nazionale Informatica Forense, iscritto nell’albo dei consulenti tecnici e periti del Tribunale di Padova.

Leggi il resto »

Apr 09

ONIF alla conferenza HackInBo a Bologna

HackInBoL’Osservatorio Nazionale di Informatica Forense ONIF offre il proprio patrocinio alla conferenza HackInBo, che si terrà a Bologna il 23 e 24 maggio 2015 presso l’Auditorium Enzo Biagi di SalaBorsa, Piazza del Nettuno 3, Bologna. Durante la giornata del 23 maggio verranno proposti alcuni interventi sulla sicurezza, malware, computer e mobile forensics mentre il 24 si terranno dei laboratori pratici, con posti limitati. Entrambe le giornate sono gratuite, è necessario però registrarsi preventivamente online tramite piattaforma EventBrite.

Leggi il resto »

Mar 25

Inizio attività ONIF

Osservatorio Nazionale Informatica ForenseCarissimi lettori,

abbiamo lavorato alacremente in questi mesi per creare questa associazione, ricordiamo senza fini di lucro, il cui fine è di valorizzare e supportare la figura dell’informatico forense, e – con l’aiuto di tutti, anche il vostro – poter diventare un punto di riferimento per chi opera in questo settore.

Per questo abbiamo costruito, e pubblicato sul sito, i primi documenti e il modulo per l’iscrizione ad ONIF, prevedendo figure di socio differenti, per meglio valorizzare il contributo di ognuno che voglia partecipare a questo progetto. I più volenterosi li troveranno nella sezione Documenti.

Leggi il resto »