L’ultima newsletter include:
una recensione di DEFT (Stefano Fratepietro);
un test di “Fuzzy Hashing” applicato alle immagini (Litiano Piccin);
il mio racconto del CyberCop 2011 (già pubblicato su questo blog).

Non mi resta che augurarvi una buona lettura e, se volete, potete anche commentare sulla piattaforma sociale IISFA: IISFA-LEARNING.

In particolare Martedi 8 si è tenuto il convegno “il contributo dell’informatica all’investigazione criminale” organizzato da ICAA (International Crime Analysis Association) a cui ha partecipato anche l’associazione IISFA (International Information Systems Forensics Association) di cui sono membro.

Purtroppo Mattia Epifani, che avrebbe dovuto partecipare al convegno in rappresentanza di IISFA presentando un intervento sulle dotazioni necessarie nell’attività di digital forensics e sugli interventi formativi dell’associazione, è rimasto bloccato a Genova a causa del nubifragio che ha colpito la città e pertanto non ha potuto tenere l’intervento. Perciò è stato chiesto a me di sostituirlo…

Il convegno è iniziato con una presentazione dell’associazione e dei progetti ICAA da parte di Marco Strano (vicepresidente e direttore scientifico dell’associazione). Nell’intervento successivo di Simone Onofri e Massimiliano Romano vi è stata una simulazione di alcuni scenari criminali seguenti all’acquisizione fraudolenta di credenziali di accesso a un computer aziendale. Purtroppo a causa di problemi tecnici legati alla connettività Internet del centro congressi, l’intervento è durato più del dovuto.

Non avendo l’esperienza e la bravura di Mattia Epifani (responsabile della formazione IISFA), e considerato anche il poco tempo a disposizione, il mio intervento, l’ultimo del convegno, è stato finalizzato a presentare le attività di IISFA e i rapporti di collaborazione tra IISFA e ICAA.

Sono stati illustrati in particolare i diversi punti su cui si articola l’offerta formativa di IISFA, sia gratuita riservata ai soci che a pagamento.
Per le attività gratuite sono stati presentati i seminari di aggiornamento tenutisi nel 2011 a Roma, i siti web dell’associazione (istituzionale, social network ed e-learning), i convegni (IISFA Forum e Cybercop), le pubblicazioni (IISFA Memberbook, IISFA Survey) e la newsletter.

In riferimento ai corsi di formazione è stato presentato il nuovo catalogo corsi che entrerà in vigore dal 2012, con particolare riferimento al Corso Intensivo di Digital e Mobile Forensics e ai corsi di approfondimento dedicati su argomenti specifici (Windows, Macintosh, Internet, Mobile, ecc.). In riferimento ai rapporti tra le associazioni è stato illustrato che per tutti i corsi di formazione a pagamento offerti da IISFA è previsto uno sconto del 20% per gli associati ICAA.

Sono state infine descritte il percorso e le modalità d’esame per il conseguimento della certificazione CIFI.

La presentazione si è conclusa con due considerazioni improvvisate sugli aspetti “forensi” degli argomenti trattati dai relatori precedenti, sui problemi legati all’analisi di volumi e dati cifrati, e sulle difficoltà nell’analizzare dispositivi iPhone qualora siano controllati remotamente all’insaputa del possessore (vedi CyberCop2010).

La sala in cui si è tenuto il convegno, sebbene non fosse l’aula magna, era quasi del tutto piena con diversi soci IISFA. Con il mio intervento si è concluso il seminario, ma diverse persone si sono avvicinate chiedendomi altre informazioni sull’associazione, sulla certificazione CIFI e sui corsi di formazione.

La giornata si è conclusa con l’interessante workshop “Cyberwarfare: Intelligence, Penetration and Response” di Emanuele Gentili e con l’estrazione dei premi che mi ha visto vincitore di un antivirus (avrei preferito il viaggio!).

Per finire in bellezza, con altri partecipanti del convegno siamo andati a cena in un’osteria di San Lorenzo, dove abbiamo gustato i piatti tipici della cucina romana e qualche bicchiere di vino rosso…

Mercoledi 9 il Forum è durato tutto il giorno: dalla mattina alla sera.
Anche le presenze sono state più numerose ed ho avuto modo di incontrare colleghi, altri soci IISFA e Clusit e fare nuove conoscenze.

Gli interventi più interessanti sono stati, a mio avviso, quelli di Corrado Giustozzi (“Cyberspace: nuova frontiera per lo sviluppo sociale o nuovo farwest?“), di Alessio Pennasilico (“Hacker: ne parlano i giornali ogni giorno. Che succede davvero?“) e quello conclusivo di Raoul Chiesa (“Peering into the Soul of Electronic Crime: Profiling the Hackers and HPP V2.0 (The Hacker’s Profiling Project)“).

È stata senz’altro una manifestazione interessante e con una buona affluenza.

Conscio di non essere stato, nel mio intervento, all’altezza di Mattia Epifani, ho cercato di far del mio meglio nel presentare l’associazione, gli eventi formativi e la certificazione CIFI, sperando di aver ripagato la fiducia mostratami dal Board IISFA.

Il 2 Novembre si è tenuto l’evento Grow Net Schools il cui intento è stato quello di consolidare la relazione tra i diversi attori del settore della formazione per migliorarne la comunicazione e rafforzarne le competenze specialistiche in ambito ICT.

L’evento, organizzato dall’associazione ICT Academy, si è tenuto nella magnifica location dell’Aula Tesi del Chiostro di San Pietro in Vincoli della Facoltà di Ingegneria dell’Università “La Sapienza” di Roma.

Per tale manifestazione, sono stato invitato, in qualità di Socio Clusit (Associazione Italiana per la Sicurezza Informatica) e membro del Gruppo di Lavoro del progetto “Adotta una Scuola“, a tenere un intervento di presentazione dell’associazione e dei progetti per le Scuole ed Università.

La platea era composta principalmente da docenti degli istituti tecnici mentre, contrariamente a quanto previsto, non erano presenti studenti universitari. Peccato perché il “Premio Tesi – Innovare la Sicurezza delle Informazioni” che ho presentato nel mio intervento, a loro avrebbe potuto interessare…

Gli insegnanti invece sono rimasti favorevolmente colpiti dalle iniziative dell’associazione, che credo nessuno precedentemente conoscesse. Alcuni hanno espresso la loro intenzione di partecipare, anche solo come spettatori, alle prossime edizioni di Cracca al Tesoro.

Sicuramente il progetto Adotta una Scuola è stato quello che ha maggiormente catalizzato, come ovvio, la loro attenzione. Oltre a presentare il progetto ho preparato anche qualche slide sulla sicurezza informatica ad alto livello, principalmente sulla consapevolezza. Questa è stata sicuramente la parte più stimolante ed interattiva, con domande e considerazioni da parte dei presenti.

Terminata la mia presentazione diversi docenti (principalmente di scuole del Lazio – l’evento è stato trasmesso e seguito anche a Bari e Lecce) mi hanno chiesto ulteriori informazioni in merito al progetto Adotta una Scuola con la richiesta di andare nelle loro scuole (principalmente negli istituti tecnici delle scuole di Roma e del centro Italia) a parlare degli argomenti esposti ai loro studenti.

Particolarmente interessante è stato l’intervento della Prof.ssa Lea Cascio (ISS Di Vittorio Lattanzio) che ha illustrato le difficoltà riscontrate e gli ottimi risultati ottenuti nella sperimentazione del programma Cisco Academy presso la scuola in cui lavora.

L’ultimo intervento della giornata è stato quello di Fulvio Battistini che ha presentato l’iniziativa CCNA4All trasmettendo tutti gli sforzi e le emozioni provate durante il corso, riuscendo così a coinvolgere ed emozionare la platea rimasta in sala.

Per concludere, anche se mi aspettavo una platea più numerosa visti anche i patrocini e l’importanza dell’iniziativa, ho notato sicuramente un grande interesse da parte dei docenti verso l’associazione Clusit e verso il progetto “Adotta una Scuola” di cui ho avuto buoni feedback dagli insegnanti presenti.

Le persone presenti al convegno erano decisamente meno rispetto a quelle dello scorso anno nonostante la levatura dei relatori presenti; l’unico appunto che posso fare è che la tavola rotonda avrebbe avuto bisogno di una maggiore moderazione per meglio rispettare
le tematiche proposte.

Terminato il convegno cerchiamo altri ragazzi senza una squadra ma intenzionati a partecipare al CAT.
Troviamo Emanuele Acri di Backtrack Italia che è da solo ed è felice di partecipare con noi. Visto che siamo in tre anche Alex decide di aggiungersi alla squadra per completarla sebbene sia venuto ad Orvieto senza strumenti adatti.
E così prima di andare a pranzo  iscriviamo per il secondo anno consecutivo la squadra chmod 777 a Cracca al Tesoro: il caposquadra quest’anno lo fa Daniele (tiè beccate sta rogna!).
Le squadre  sono  meno numerose rispetto allo scorso anno ma il livello sembra più alto; giusto per citare alcune squadre: Arturo e Carlo (team Solo Fuffa) che hanno vinto a Milano, i Disarm3d già vincitori delle precedenti edizioni ad Orvieto, il Team_1176Km dalla Germania…

Verso le 14:30 inizia il gioco, e come al solito Alessio Pennasilico dalla scala ci urla il primo indizio “Verso I Novelli Calici A Far Festa Enologica!” che ci conduce al Vincaffè. Ci arriviamo grazie ad Alex, che si è occupato delle ricerche su Internet, e alle indicazioni chieste ai negozianti di Orvieto (anche se la prima commerciante cinese non è stata di grande aiuto eheh).

Giungiamo trai primi al Vincaffè dove ci accomodiamo all’interno: seduti, al fresco, musica e corrente elettrica… Il paradiso di ogni wardriver.
Dentro il locale sono l’unico della mia squadra ad accendere il computer, non capisco se per pigrizia dei miei compagni o per una loro sopravvalutazione delle mie capacità
Daniele, con la scusa dello scontrino che ci avrebbe fornito ulteriori punti utili, ne approfitta anche per prendersi qualcosa nel locale.

La prima rete wireless è senza protezione, perciò non c’è bisogno di bucare l’algoritmo di cifratura.
Finalmente Daniele accende il suo portatile e lancia le prime scansioni alla ricerca degli host.
Anche Alex con il suo netbook prova a lanciare dei ping alla ricerca di qualche macchina.
Io ed Emanuele continuiamo a lavorare sul mio netbook, ma sulla rete a cui siamo collegati non troviamo server, ma solo i computer degli altri partecipanti.
Lascio il mio netbook ad Emanuele ed intanto accendo il portatile più grande che mi sono portato assieme al netbook. Daniele nel frattempo riesce ad individuare gli host ed Emanuele, con una velocità estrema, trova il primo indizio (nel file /etc/passwd) grazie ad una manipolazione dell’url del servizio web.
L’indizio riporta, oltre alla parola “GABBIANI” da comunicare via sms agli organizzatori (da parte del nostro caposquadra Daniele), un link al sito web: http://tinyurl.com/5sbjbhe.

Mentre Daniele appunta tutte le evidenze sugli appositi moduli che andranno consegnati agli organizzatori al termine della manifestazione, Alex tramite Internet trova il nome del ristorante che sarà la nostra prossima tappa: L’Antica Rupe.
Nell’indizio viene anche indicata la possibilità di guadagnare punti extra portando 4 birre medie in control room a Daniele. Alex si offre di fare questa “consegna” mentre io, Daniele ed Emanuele decidiamo di andare verso il ristorante, ignorando il secondo target/server del primo bersaglio che non abbiamo neanche provato a bucare poiché il locale era pieno di troppi concorrenti ed era decisamente meglio allontanarsi…

Mentre lo scorso anno il primo access point era stato posizionato a Piazza del Popolo dove batteva un sole cocente tanto da non riuscire a premere neanche i tasti del computer, stavo già pensando a quanto fossero stati magnanimi gli organizzatori quest’anno a mettere il primo Access Point in un locale “comodo comodo”.
Usciti dal Vincaffè entro nel primo negozio aperto per chiedere informazioni su dove si trovi l’Antica Rupe (molto più semplice chiedere ai negozianti, purché non cinesi, piuttosto che cercare su Internet o utilizzare sistemi GPS eheh). La risposta “c’è molto da camminare” inizia a farmi ricredere sulla bontà degli organizzatori. Un Km sotto al sole alle ore 16 con due portatili nello zaino in spalla; per fortuna faceva meno caldo rispetto allo scorso anno.

Mentre andiamo verso l’Antica Rupe troviamo due ragazzi siciliani di un’altra squadra che destano i nostri sospetti poiché vanno in giro con un trolley che sembra abbastanza pesante… Decidiamo di seguirli andando al loro passo e ci accorgiamo che “miracolosamente” il segnale wireless del Big Shoot ci segue.
Il bersaglio Big Shoot è la novità di quest’anno: è un bersaglio mobile che viene accesso ad intermittenza e che consente, a chi per primo riesce a bucar entrambi gli host dietro l’access point, di guadagnare ben 50 punti, garantendosi quasi la vittoria finale.
Capiamo che sono loro il big shoot, ma decidiamo di procedere con passo più spedito verso l’Antica Rupe.

Daniele ed Emanuele prendono “una scorciatoia” (maledetto tomtom!) che li fa arrivare parecchi minuti dopo di me che invece ho seguito le indicazioni dei locali.
Non siamo i primi ad arrivare ma non ci sono ancora molte squadre; decidiamo di piazzarci sulle scale interne per evitare il pericolo di non vedere bene lo schermo alla luce, per stare più comodi e soprattutto (memori dello scorso anno alla Croce Rossa) per avere una presa di corrente elettrica.
Alex intanto compiuta la missione ci raggiunge all’Antica Rupe, mentre perdiamo di vista Emanuele… Era andato a prendere un cocktail per Emanuele Gentili che gli ha dato in cambio un foglietto con una chiave wpa di un “prossimo target”, che si è poi rilevata fasulla!

Apro il netbook con la solita Alfa ed inizio e bucare il secondo accesso point (wep); dopo pochi minuti abbiamo la chiave “0dead”.
Daniele da buon caposquadra si annota tutte le informazioni ed una volta completata la “burocrazia” si unisce ad Emanuele (con il mio portatile) ed Alex che avevano intanto iniziato ad individuare gli host target e ad identificare i servizi attaccabili.

Oltre alla rete wireless del secondo access point compare nel frattempo anche la rete Big Shoot, che provo a bucare (wep). Riesco a trovare la chiave wep di Big Shoot (passwrd128bit), ma decidiamo di completare prima il lavoro iniziato sugli host del secondo access point.
I miei compagni hanno individuato due host, uno windows 2000 con servizio SMB (porta 445) ed uno linux con servizio irc (porta 6667). Io e Alex ci colleghiamo al canale irc ed individuiamo la versione del server irc: Unrealircd versione 3.2.

Nel frattempo però Emanuele, aiutato da Daniele, riesce a bucare con metasploit il servizio SMB di windows e ad individuarne l’indizio.
All’interno del file è presente la parola “ISOLA” da comunicare agli organizzatori ed un indovinello per trovare il prossimo Access Point. L’indizio rimanda alla via del Santo che prende il nome dal seguente testo:
“Da sacerdote il suo primo campo di azione sono gli oratori, in collaborazione con San Giovanni Bosco e le iniziative in favore della gioventù della periferia torinese, carcerati, giovani lavoratori, ragazzi di strada”.
La fonte è Wikipedia ed individuiamo facilmente la persona:  Leonardo Murialdo.
Inizialmente presi dalla foga ci preoccupiamo di trovare via Leonardo Murialdo ad Orvieto, via che non esiste. Non sarà mica l’oratorio di Orvieto?
Stavamo quasi entrando nel pallone quando finalmente capiamo che la via da cercare è “via San Leonardo”!

Decidiamo di dividerci:
io e Alex partiamo per il terzo access point, mentre Emanuele e Daniele restano sul secondo access point per provare a bucare anche il server linux.

Riusciamo a trovare facilmente la via indicata nell’indizio grazie alle preziose indicazioni di una farmacista; il tomtom ancora cercava i satelliti quando siamo arrivati al terzo access point.
Troviamo una panchina parzialmente integra, ma ci sembra il posto migliore. Capiamo solo più tardi che la nostra scelta non è stata delle migliori: la vicinanza ad alcuni vasi con delle piante ha fatto sì che sciami di zanzare ci massacrassero e ci dissanguassero.

Anche qui troviamo già alcune squadre a lavoro; il segnale va e viene, ma riusciamo ugualmente in breve tempo ad individuare la chiave WEP (11:11:11:11:11:11:11:11:11:11:11:11:11). Ripassa Emanuele Gentili che prova a vendere i suoi “pizzini” ad altre squadre, che sembrano però non cascarci.
Trovata la chiave wep comunico via sms al caposquadra Daniele tutti i dati sull’access point per poter inviare la comunicazione agli organizzatori e riportare le informazioni sul foglio.
Purtroppo il mio netbook non ha metasploit  funzionante ed anche il portatile di Alex non
è equipaggiato con strumenti idonei a bucare i sistemi. Ci limitiamo a fare scansioni sulla rete per identificare gli host ed i servizi su cui poter tentare gli exploit.

Ci aggiorniamo con i nostri compagni di squadra rimasti sul secondo access point che sono riusciti a bucare il server IRC grazie ad una backdoor presente nella versione 3.2 di Unrealircd ma non riescono a trovare l’indizio. Gli dico che noi con i mezzi a disposizione non possiamo fare altro e che li aspettiamo in via S. Leonardo non appena avessero trovato l’indizio.
Purtroppo il tempo passa ed i nostri compagni non si vedono…
nel frattempo ricompare anche la rete Big Shoot con i Disarm3d presi a seguirne il segnale.

Siamo bloccati, decidiamo di provare a fare un giro per Orvieto con i netbook accessi alla ricerca della rete del CAT del 4°o 5° bersaglio. Camminando per Orvieto con il notebook ed una grossa antenna in mano molte persone ci guardano, come lo scorso anno, sbalordite ma qualcuno ci riconosce e ci dice “sono quelli di caccia al tesoro!” (caccia, cracca, siamo la…).
Purtroppo la nostra ricerca non sortisce alcun effetto, troviamo però i Solo Fuffa che tornano al primo bersaglio, forse per provare a bucare il secondo sistema…

Finalmente anche Daniele ed Emanuele arrivano al terzo access point ma purtroppo ci informano che non sono riusciti a trovare l’indizio! Non ci diamo per vinti ed anche se il tempo a disposizione stava per scadere proviamo a bucare i sistemi. Purtroppo la rete wireless inizia a dare problemi e perdiamo la connessione più volte, quando alla fine riceviamo l’sms degli organizzatori in cui ci viene comunicata la fine del game.

Torniamo verso il punto di partenza dove troviamo anche Sylvio che ci comunica di aver vinto il game parallelo per partecipanti singoli “Running Man”; gli facciamo i complimenti e consegniamo agli organizzatori i moduli e gli scontrini per i punti extra.
Siamo abbastanza soddisfatti del nostro lavoro, un po’ stanchi ma contenti per il divertente pomeriggio trascorso.

E’ arrivato il momento della premiazione…
Colpo di scena: i Disarm3d, due volte campioni ad Orvieto, arrivano ultimi. La squadra si era concentrata unicamente sul bersaglio Big Shoot ma per poco non è riuscita a completarlo.
Vengono svelati i due ragazzi che avevano con loro il bersaglio Big Shoot, ma noi eravamo riusciti ad individuarli quasi subito.

Si passa alle altre squadre che non sono arrivate sul podio.
Restano tre squadre: CHMOD 777, Solo Fuffa e Team_1176Km.
Anche quest’anno siamo sul podio…

Terzi classificati, con 29 punti, Team_1176Km i cui componenti sono venuti dalla Germania!

Paolo Giardini, Raoul Chiesa, Alessio Pennasilico e Cristiano Cafferata, organizzatori di Cracca al Tesoro, chiamano sul palco le prime due squadre: noi ed i Solo Fuffa.

Vengono annunciati i vincitori che sono Carlo e Arturo dei “Solo Fuffa” con 47 punti. Complimenti a loro che vincono, oltre alla targa, un corso di certificazione NSE( Network Security Essentials).

CHMOD 777 con 34 punti, secondi classificati. Felici e soddisfatti del nostro secondo posto ci facciamo le foto di rito con la targa.

Cristiano Cafferata di SonicWall ci offre anche la possibilità di conquistare l’access point della SonicWall (per la precisione un TZ 210 Network Security Appliance) utilizzato come terzo bersaglio. Per “vincere” l’access point è però necessario andare a recuperarlo nel luogo dove è stato installato. Fortunatamente la signora nella cui casa era stato installato l’access point non ci ha fatto troppe storie (come si era inizialmente ipotizzato) e siamo riusciti facilmente ad ottenere il SonicWall TZ 210.

Tornati nel luogo della manifestazione si festeggia con pane e porchetta, vino e birra.

Ormai si è fatto tardi e dobbiamo tornare a Roma, salutiamo e ringraziamo gli organizzatori e ci mettiamo in auto, sfiniti ma soddisfatti.
Anche questa Cracca al Tesoro è terminata; ci salutiamo con la promessa di migliorarci ulteriormente il prossimo anno e di arrivare con una squadra ben definita e rodata ma soprattutto con la speranza di divertirci ancora una volta assieme!

Mi onoro di aver potuto la possibilità di tenere una lezione per tale progetto.
Complimenti ad ICT Academy, a tutti gli organizzatori, ma soprattutto ai ragazzi che hanno partecipato al progetto.

Il progetto ha avuto riscontro anche a livello internazionale.
Online anche le slide di presentazione del progetto.

Rispetto allo scorso anno ho partecipato con una nuova squadra: Giuseppe Miragoli, Massimo Rocca e, come unico investigatore, un maresciallo della Guardia di Finanza che però, all’ultimo, non ha potuto partecipare lasciando quindi la nostra squadra priva di un  elemento e senza agente di Polizia Giudiziaria (PG). Seppur partecipando per divertirci e fare bella figura, senza la pretesa di vincere, riuscire ad andare avanti nel CyberCop senza un investigatore è utopistico. Non ci siamo però darti per vinti e ci siamo impegnati al massimo ugualmente.

Il gioco è partito con una querela (anche se sarebbe stata più corretta una denuncia) da parte di Gigi Boccalone detto “il tonno” per phishing e frode sulla sua carta per un’operazione da 1€.
Allegata alla querela vi era l’email di phishing acquisita “dai migliori esperti informatici italiani” con FTK Imager ed il relativo log.
Purtroppo non ci siamo accorti che l’hash dell’email, calcolato con FTK, non combaciava con quello presente nel log. Gli organizzatori si sono divertiti a cambiare, nel log, solamente le ultime tre cifre dell’hash; inoltre avendo gli organizzatori rinominato il file, in FTK non veniva effettuata in automatico la verifica dell’hash dell’email con quello presente nel log…

In assenza di un investigatore nel team, mi sono occupato io (con pessimi risultati, almeno dal punto di vista formale) di preparare e compilare la modulistica e le richieste. Così, mentre procedevo alla comunicazione di notizia di reato, Giuseppe e Massimo hanno proceduto ad aprire e controllare l’email. Al suo interno era riportato il link al sito di phishing.

L’url utilizzava il protocollo https ed il certificato era valido. La grafica del sito ricalcava quella di una classica banca (in particolare di IISFA Bank) in cui venivano richieste le credenziali di accesso (utente e password). Inoltre era presente il codice javascript di un malware (BeEF: BeEF Browser Exploitation Framework) che, se eseguito, avrebbe reso il computer dei visitatori degli zombie di una botnet.

Mentre procedevo da “buon investigatore” alla richiesta ad IISFA Bank dell’intestatario della carta coinvolta nella transazione da 1€ (disconosciuta nella querela di Gigi Boccalone) e di tutte le transazioni effettuate online nel mese di Maggio, Giuseppe verificava il sito di phishing, l’intestatario e l’hosting mentre Massimo, analizzando le pagine, trovava quella adibita all’invio tramite email delle credenziali rubate, e si accorgeva che una directory (kit) del web server era navigabile, cioè era possibile vedere tutti i file in essa contenuti. Una volta acquisiti tutti i file, Massimo e Giuseppe passano ad analizzarli; tra questi era presente la pagina mailto.bak che riportava l’indirizzo email a cui venivano inviate le credenziali rubate.

Nel frattempo, ottenuto dalla banca l’elenco della transazioni effettuate, si procedeva ad analizzare i flussi finanziari per poter rispondere al quesito del PM, che chiedeva quali e quante fossero le operazioni fraudolente ed il loro importo totale.

Procediamo a richiedere alla banca il dettaglio delle spendite effettuate dalle transazioni individuate (probabilmente non siamo, anzi non sono, visto che me ne stavo occupando io, riuscito ad individuare tutte le operazioni fraudolente).
La banca, come risposta, ci segnala che tutte le transazioni riportavano delle spendite su di un sito di aste online ed in particolare su due oggetti venduti da parte di un certo AlCapone.
 
Osservando gli altri oggetti in vendita da parte di AlCapone, vediamo che ci sono aste attive ed in scadenza. Ci rendiamo conto di trovarci difronte ad una vera banda criminale che si occupa di vendita di armi, carte di credito e droga.

Procedo alla notifica del reato di associazione per delinquere finalizzata al traffico di stupefacenti ad opera di ignoti, alla rogatoria (non autorizzata) per l’acquisizione dei file del sito e del database (registrato in America) e alla richiesta dell’autorizzazione ad operare sotto copertura sul sito di aste per poter contattare il venditore. Intanto Massimo e Giuseppe creavano l’utenza fittizia per poter accedere al  sito di aste.
Il sabato ci è stato riferito che analizzando anche il file degli accessi “access.test” presente nella directory kit del sito di phishing, si poteva constatare che uno dei primi accessi proveniva dal sito di aste di online, ed in questo modo si sarebbe potuto aver accesso diretto al sito di aste, senza dover passare per la banca, risparmiando diverso tempo…

Veniamo autorizzati a spendere, per un acquisto controllato sul sito di aste, una cifra massima di 1.000€.
Massimo e Giuseppe si occupano di seguire l’asta, mentre io cerco di contattare il venditore per tentare di concludere, il più velocemente possibile, la transazione al di fuori del sito di aste, senza aspettare la scadenza dell’asta che probabilmente non ci saremmo neanche aggiudicati. Alla fine riesco a concludere la trattativa per 990€.

Durante la consegna della merce acquistata il venditore (AlCapone) riesce a scappare con i soldi, ma gli sfugge e cade a terra una busta chiusa. Purtroppo non mi sono preoccupato, come credo anche tutte le altre squadre, di sequestrare la droga concentrandomi invece sulla richiesta per il rilievo delle impronte digitali e tracce di DNA (saliva) sulla busta e per l’autorizzazione al PM per l’apertura della busta stessa.
All’interno della busta sono presenti le credenziali e l’url di un web operating system cloud di nome eyeos. Autorizzati ad effettuare l’accesso ci troviamo davanti un vero e proprio desktop online. Tra i file presenti notiamo, tra gli altri:

• backup.rar
• Iphone Alcapone.zip
• Directory topsecret con all’interno una struttura con diverse cartelle annidate
• topsecret.avi

Acquisiti tutti i file ci dividiamo il lavoro.
Giuseppe analizza il file topsecret.avi: non può essere un video un file di soli 28KB. Riesce ad aprirlo e viene mostrata una formula matematica (con tra l’altro Fibonacci); passa poi a controllare la directory topsecret e il file di backup dell’Iphone.

Backup.rar contiene al suo interno tre file: passdb (che sembra in qualche modo contenere testo cifrato), foto.jpeg e hint.exe.

Mi accorgo che il file hint.exe non è un eseguibile ma una immagine che però non riesco ad aprire; inizia a lavorarci Massimo che aggiustando gli header ed il magic number riesce ad aprire: l’immagine riporta lo screenshoot di un programma di nome Keepass che serve a memorizzare e mantenere le password per l’accesso a siti ed email.

Riteniamo che il passdb sia quello che contenga le credenziali memorizzate dal programma, ma ci manca il key file per poterlo aprire. Anche l’immagine foto.jpeg, che aprendola normalmente sembra una vera immagine raffigurante una ragazza con il volto offuscato, desta i miei sospetti e mi torna in mente quanto avevo letto a suo tempo e visto lo scorso anno al Cracca al Tesoro: un archivio zip concatenato al termine di un file jpg.

È bastato rinominare l’immagine in .zip che winrar lo aprisse mostrando il suo contenuto: un file di nome file.mp3 ma protetto da password! E purtroppo la password non riuscivamo proprio ad individuarla, perciò avvio e lascio in esecuzione il programma per il recupero della password.

Ci coordiniamo per fare il punto della situazione: Massimo continua a lavorare sul backup alla ricerca del master file per aprire il database di keepass; Giuseppe, mentre dal suo computer fisso sta procedendo ad indicizzare il backup dell’Iphone, sta ancora navigando le cartelle in topsecret che contengono diverse evidenze.

Decido di aiutarlo: fortunatamente non è necessario aprire tutti i livelli poiché, qualora una directory al suo interno non contenga ne file ne altre cartelle, viene visualizzata con un’immagine di una directory vuota. Dopo circa 5 minuti finiamo di raccogliere le 5 evidenze, costituite da foto raffiguranti armi, presenti in oltre 300 cartelle!
  
 

Intanto, tramite un excel, avevo anche risolto la formula di Fibonacci presente nel file topsecret.avi (o meglio pdf), ma ci ho perso ben 5 minuti prima di capire che i numeri generati combaciavano esattamente con il numero delle directory contenenti le evidenze! Arg doppio lavoro inutile…

Tra queste directory vi è anche un’immagine di nome AlcaponeSL.jpg che mostra una persona seduta su di un divano in Second Life e 4 cifre composte da 4 numeri separati da una virgola. Secondo Giuseppe potrebbe essere il numero di una carta bancaria, visto che finora tutte le carte bancarie analizzate erano composte da 16 cifre. Giuseppe procede alla richiesta dell’intestatario della carta, ma dalla risata di Giuseppe M. capiamo che non siamo sulla strada corretta.Giuseppe inizia allora ad analizzare l’immagine finché non trova nascosto sul muro dietro al divano una piccola scritta tono su tono con le credenziali per l’accesso ad un account su Second Life: le cifre riportate sull’immagine erano le coordinate pixel dell’area, della immagine stessa, che nascondeva le credenziali.

Giuseppe chiede l’autorizzazione ad effettuare l’accesso su Second Life ed una volta ottenuto entra, portando la nostra squadra ad arrivare per prima su tale mondo virtuale!
Purtroppo il client ufficiale di Second Life che intanto Giuseppe aveva installato, da più problemi che altro e Giuseppe non riesce ad individuare nessun indizio. Altre squadre sono riuscite ad arrivare alle credenziali per accedere a Second Life e per questo l’organizzazione ci impone di effettuare il logout, per dare la possibilità anche alle altre squadre di entrare. Non essere riusciti ad arrivare ad alcuna traccia su Second Life, per colpa del client ufficiale e per il poco tempo concessoci (ma uguale per tutte le squadre), ci
ha un po’ demoralizzati… Eravamo in vantaggio su tutte le altre squadre ed avevamo capito che dovevamo salire al secondo piano della casa per trovare qualcosa, ma essendo la casa a 653 metri d’altezza il volo era disabilitato e per salire era necessario utilizzare il teletrasporto, purtroppo con un po’ più di tempo a disposizione ce l’avremmo fatta!

Restava il file foto.zip che conteneva il file file.mp3 ma senza la password non sapevamo come fare… Il programma di password recovery aveva completato tutte le password da 4 caratteri, ma niente!
Usufruiamo del primo aiuto degli organizzatori, un link al sito di TinEye, un motore di ricerca di immagini similari in rete. Capiamo subito che dobbiamo dargli in pasto l’immagine foto.jpeg, che raffigura una ragazza con il volto offuscato. Dopo pochi secondi ci viene restituito il nome della ragazza. Il cognome ed il nome della ragazza ci permettono di estrarre il file file.mp3 presente all’interno del file zip “foto.jpg”.
Senza l’aiuto probabilmente ci saremmo arenati qui… 

File.mp3 è un file di un solo KB ed evidentemente non può essere un file audio; guardano gli header ci rendiamo conto che è un file rar che contiene al suo interno un file di nome keyfile che ad occhio sembrerebbe proprio quello necessario ad aprire il database della password di Keepass. Il problema è che anche questo file è protetto da password: siamo da capo a dodici… Provo le password banali ma niente, rimetto in funzione il programma di password recovery, sperando che sia presente all’interno del dizionario o composta da pochi caratteri. Purtroppo non è così… Siamo completamente nel pallone ed un aiuto degli organizzatori, che evidentemente non era indirizzato a noi, ci manda fuori strada! Vedendoci nel pallone Giuseppe M. ci suggerisce di controllare meglio backup.rar, ma ormai l’avevo spulciato tutto, o almeno credevo… Ricontrollo tutti i file presenti nell’archivio backup.rar, tutti gli header, cerco file concatenati in tutti i file, ma niente! Anche Giuseppe e Massimo sono fermi, senza quella password non riusciamo ad andare avanti (e su Second Life non possiamo ancora ri-effettuare l’accesso)… Perciò mi chiedono di copiargli su di una chiavetta usb il file “backup.rar” in modo tale che avrebbero potuto procedere anche loro all’analisi; mentre lo vado a selezionare, capisco! Non dovevo cercare e spulciare i file preseti all’interno di backup.rar, ma dovevo cercare proprio dentro il file backup.rar!!! Lo stress mi ha giocato un brutto scherzo.
Cercando header di altri formati di file infatti emerge la presenza di una immagine GIF. In questo caso non basta rinominare il file da backup.rar in backup.gif ma è necessario cancellare completamente la prima porzione del file; fatto ciò ci troviamo di fronte ad un rebus.

Non siamo bravi enigmisti e perciò decidiamo di provare a cercare la soluzione su internet; Giuseppe inserendo su google immagini il nome dell’autore del rebus, riportato nell’immagine, trova velocemente la soluzione online e, nemmeno a dirlo, era proprio la password che ci permette di estrarre il file keyfile dall’archivio “file.mp3”.

Riusciamo così, probabilmente con notevole ritardo rispetto ad altre squadre, ad aprire il file delle credenziali con Keepass, senza password ma tramite il keyfile.

All’interno troviamo le credenziali EyeOs di LuckyLuciano e FrankCostello.
Le credenziali di FrankCostello non sono valide, mentre quelle di LuckyLuciano ci consentono di accedere, non prima di aver richiesto l’autorizzazione al PM.

Decidiamo di dedicarci completamente alla ricerca di indizi ed evidenze su EyeOs di LuckyLuciano, tralasciando completamente l’analisi dell’Iphone di AlCapone.
Dentro EyeOs di LuckyLuciano troviamo, tra l’altro:

• eyeos.dll
• Iphone Lucky Luciano.zip, Rubrica Lucky Luciano.zip e Rubrica FrankCostello.zip
• MB 2010 -Boscaiolo 13-2.jpg (condivisa da FrankCostello)

Eyeos.dll si riconosce immediatamente essere un file eseguibile di un autoestraente; aprendolo con winrar si trova un file credenziali.txt con le credenziali Second Life di LuckyLuciano.
Giuseppe effettua l’accesso e si dedica a Second Life.
Mentre avvio l’indicizzazione dei tre file dell’Iphone, apro l’immagine “MB 2010 -Boscaiolo 13-2.jpg” che presenta la copertina del memberbook IISFA 2010. Come un fesso prendo il memberbook (che mi ero portato previdentemente insieme al Codice Penale e Codice di Procedura Penale), apro pagina 13 e cerco la seconda parola.

Nel frattempo, su Second Life con un client migliore, Giuseppe riesce a salire al secondo piano dell’abitazione dove trova un pacco al cui interno è presente un messaggio che rimandava ad un’altra località su SecondLife (Quoltar 184,201,24). Qui veniva rinvenuta un’ulteriore scatola recante un messaggio codificato.
Prontamente Massimo riesce a decifrarla (era codificata in Base64): ci indirizza oltre la piscina dello chalet, su Second Life, alla ricerca di un secondo pacco.

UXVlaSBtYWxlZGV0dGkgZGVnbGkgaW52ZXN0aWdhdG9yaSBkZWwgY3liZXJjb3A
gY2kgc3Rhbm5vIHRyYWNjaWFuZG8uDQpQZXIgZm9ydHVuYSBpbCBub3N0cm8g
Y29tdW5lIGFtaWNvIGNpIHN0YSBkYW5kbyB1bmEgbWFubyBhIGZhciBwZXJkZXJ
lIGxlIHRyYWNjZSEhDQoNCkFuZGF0ZSBuZWxsbyBjaGFsZXQgb2x0cmUgbGEgcGl
zY2luYSBlIGNlcmNhdGUgaWwgcGFjY28u
——————————————————————————–
Quei maledetti degli investigatori del cybercop ci stanno tracciando.
Per fortuna il nostro comune amico ci sta dando una mano a far perdere le tracce!!Andate nello chalet oltre la piscina e cercate il pacco.

All’interno del pacco è presente una seconda frase (codificata con ROT 13), decifrata sempre da Massimo, che rimanda invece ad un appuntamento con un certo DickTracy in  uno strip club (sempre su Second Life).
Giuseppe si teletrasporta nel luogo dell’incontro ma non troviamo nessuno.

Va cvrab fgvyr Ubyyljbqvnab vy abfgeb ncchagnzragb fv gebin va hab fgevc pyho.
Pv gebivnzb yà  dhnaqb irqergr Q1pxGe4pl bayvar.
Jvfqvz Vfyr  (237,208,22)
——————————————————————————–
In pieno stile  Hollywodiano il nostro appuntamento si trova in uno strip club.
Ci troviamo là  quando vedrete D1ckTr4cy online.
Wisdim Isle  (237,208,22)

Intanto riprendo il memberbook IISFA 2010 e ricordo l’email del presidente Gerardo Costabile che si raccomandava di leggere la prefazione da lui scritta, intitolata “il Boscaiolo!”: rigo 13 parola 2 ed ecco la password. Ancora una volta avevo la soluzione sotto gli occhi ed invece, per la fretta e la tensione, non me ne sono accorto…

Effettuando un altro controllo su EyeOs apro l’email, pensando di vedere i messaggi che la banda si scambiava tramite il sistema di messaggistica interna ad EyeOs. Invece mi trovo davanti la posta elettronica di una casella email, senza alcuna richiesta di password; stando ben attento a non aprire email non ancora lette (per non modificarne lo stato) apro alcuni messaggi già letti: sono tutti, e solamente, messaggi destinati all’indirizzo email presente sul sito di phishing e riportanti le credenziali inserite dagli utenti sul sito di phishing. Cerco anche nella posta inviata ma non sono presenti messaggi, infine verifico anche la presenza di messaggi nel cestino e sorprendentemente trovo un’email: inviata da una casella di posta personale all’indirizzo email presente sul sito di phishing oltre che a diverse caselle di poste personali. Nell’email è anche riportata l’intera discussione dei soggetti, in cui viene dimostrato come tali persone abbiano configurato e messo in funzione il sito di phishing. Inoltre nell’email viene anche richiesto da uno dei soggetti coinvolti la password per accedere all’indirizzo email presente nel sito di phishing (a cui venivano inviate le credenziali rubate), e sempre all’interno della stessa email un altro soggetto risponde che la password è cambiata con una nuova che viene riportata.
Riteniamo pertanto di avere un’ottima prova che potrebbe incastrare l’intera banda criminale.

Indecisi se arrestare, interrogare o semplicemente ascoltare quale persona informata sui fatti il mittente dell’email, optiamo per quest’ultima possibilità, se non altro perché senza un agente di PG e senza il supporto di un PM non avremmo potuto reggere un interrogatorio con l’indagato assistito da un avvocato.
Durante l’assunzione di sommarie informazioni, il soggetto dichiara di non sapere nulla di quella email e degli altri individui coinvolti, e che probabilmente è stata la sua segretaria che ha accesso ed utilizza quotidianamente il suo computer fisso con quella casella di posta configurata.
Rispondiamo che l’email risulta inviata da uno smartphone e che pertanto non può essere stata la segretaria; a questo punto concludiamo l’acquisizione delle sommarie informazioni, ma non sappiamo come procedere (quanto ci è mancato un vero investigatore!). Probabilmente a questo punto, in base alle dichiarazioni rese, emergevano indizi di reità e si sarebbe dovuto procedere a sottoporlo ad indagini.

Torniamo perciò sui nostri computer alla ricerca di ulteriori elementi di prova ma anche e soprattutto per iniziare a scrivere la relazione finale, visto il poco tempo rimasto a disposizione.
Intanto su Second Life ancora non si manifestava DickTracy mentre, con la password recuperata dal racconto del boscaiolo siamo riusciti ad effettuare l’accesso ad EyeOs con le credenziali di FrankCostello.
All’interno troviamo, tra gli altri, i file:

• bilancio the gang.xls
• Promemoria Incontro sl.jpg
• Iphone Frank Costello.zip e Rubrica FrankCostello.zip che però, visto il poco tempo a disposizione, abbiamo completamente ignorato come pure i file Iphone di LuckyLuciano.

Apro il file che, almeno dal titolo, sembra il più promettente: “bilancio the gang.xls” ma è richiesta una password di apertura.
Provo con le password già provate e con tutti i nomi delle persone già individuate, ma niente. Decido di avviare un programma di password recovery, conscio del fatto che se la lunghezza e complessità di questa password fosse stata uguale alle precedenti (almeno 10 caratteri con caratteri alfanumerici) non sarei riuscito a recuperarla nell’arco dei pochi minuti rimasti. Ma tentar non nuoce.
Giuseppe con Massimo che lo coadiuva, riescono nel pochissimo tempo rimasto a disposizione a scrivere una breve ma precisa relazione, allegando la prova delle evidenze raccolte nell’arco della giornata.
Mentre il programma di password recovery tenta di recuperare la password di apertura del file, provo a cercare su EyeOs se anche questo account ha un profilo di posta configurato, ma purtroppo non è così. Trovo invece nel calendario l’appuntamento su Second Life con il Boss e la password per incontrarlo, ma ormai è troppo tardi ed il tempo a nostra disposizione è finito.

Interrompo il programma di password recovery che aveva appena finito di testare le password di tre caratteri; in effetti il mio scetticismo si è dimostrato fondato, sebbene il sabato durante la spiegazione della soluzione ci viene detto che la password era semplicemente “dick”. Con una decina di minuti in più sarei riuscito a trovarla!
Non siamo riusciti ad incontrare DickTracy su Second Life, probabilmente perché già scappato o già arrestato da qualche squadra che ci deve aver proceduto.
Abbiamo anche completamente ignorato i backup degli iPhone, sia per il poco tempo a disposizione, sia perché non sono un esperto di iPhone: analizzando e correlando le tre rubriche dei diversi soggetti (AlCapone, LuckyLuciano e FrankCostello) ciascuna con un centinaio di numeri, si sarebbe potuto scoprire (come fatto dalla squadra vincitrice del CyberCop) un unico numero presente in tutte e tre le rubriche, e da lì prendere una nuova pista investigativa.

Ormai il gioco è finito e siamo tutti stanchi, ma soddisfatti di quanto siamo riusciti a fare…
Veniamo anche a sapere che il messaggio di posta recuperato nel cestito dell’email di LuckyLuciano non era una cosa voluta dagli organizzatori, ma una loro dimenticanza, e per questo abbiamo fatto vincere a Giuseppe M. (nella figura di coordinatore di tutti gli organizzatori del CyberCop) un bel Tapiro, consegnatogli il sabato mattina nell’aula del tribunale… Che forza!!!

Ringrazio i miei compagni di squadra (Giuseppe Miragoli e Massimo Rocca): nonostante rimasti orfani dell’unico investigatore e con poca esperienza in ambito di Computer Forensics, ci siamo dati da fare (non solamente sul lato tecnico) per andare avanti il più possibile, lavorando di squadra ed impegnandoci nel fare bella figura.

Anche questa volta gli organizzatori non si sono risparmiati: file nascosti, cloud computing e second life.
Il tempo è stato veramente poco; si è lavorato costantemente sotto pressione e con lo stress, ed anche per questo si perde alle volte di vista ciò che si ha sotto gli occhi (vedi backup.rar e boscaiolo.jpg)…
Con il poco tempo a disposizione e con tante cose su cui lavorare, riuscire a fare un buon lavoro sotto tutti i punti di vista è impossibile.

Ci siamo divertiti molto ed è stata sicuramente un’ottima palestra, una palestra che solo il CyberCop mette a disposizione:
squadre composte da persone con competenze diverse che devono necessariamente lavorare di squadra per risolvere le prove create dai migliori professionisti; la simulazione processuale; l’opportunità di confrontare il proprio lavoro e la propria metodologia con quello delle altre squadre; ma anche, e soprattutto, la possibilità di conoscere altre persone con gli stessi interessi e le stesse passioni!
Congratulazioni ai vincitori, ma i miei più sinceri complimenti anche ai secondi classificati.

I miei ringraziamenti finali vanno agli organizzatori del CyberCop che, negli ultimi mesi, hanno sacrificato il loro tempo libero (immagino poco tra lavoro, fidanzate, figli, mogli e matrimoni) per la riuscita di questo evento…
Grazie ad Andrea Ghirardini, Litiano Piccin, Davide Gabrini, Massimiliano Graziani e Giuseppe M.
Anche quest’anno, per merito vostro, è stata per me un’esperienza unica ed indimenticabile!

Sono stati 3 giorni, anzi 4 considerando anche l’evento Cracca al Tesoro, davvero molti intensi.

Sabato 12 Marzo si è svolto “Cracca al Tesoro”, manifestazione a cui questa volta, a differenza di Orvieto, non ho partecipato come giocatore.
Il gioco è stato preceduto nella mattinata da una serie di interventi interessanti di Alessio Pennasilico, Matteo Flora, Pierluigi Perri, Raoul Chiesa e Jon Orbeton. L’aula era veramente gremita, con oltre 100 presenze.

Dopo pranzo è stato dato il via al gioco a cui hanno partecipato ben 22 squadre provenienti da tutta Italia; fortunatamente il tempo è stato clemente e tutta la manifestazione si è svolta senza la pioggia che avrebbe sicuramente creato ulteriori problemi ai giocatori e agli organizzatori… Certo siamo ben lontani dal clima afoso dell’estate orvietana!
Dopo la partenza le squadre, alcune munite di batterie da macchina ed inverter all’interno di carrelli, si sono dirette a via Como, luogo in cui erano dislocati gli Access Point dell’organizzazione. Non partecipando al gioco ho avuto la possibilità di seguire l’evento “dall’altra parte”.
E così, dopo le prime due ore passate in relativa tranquillità visto che nessuna squadra era ancora riuscita a bucare alcun Access Point per la difficoltà nel trovare le reti wireless e per la presenza di Access Point finti dei soliti “disturbatori”, si è assistito a sfilate in Control Room tra chi faceva gli auguri di buon compleanno ad Alessio, chi portava alcolici e chi rose (tutte prove per guadagnare punti extra).

Alle 18:30 c’è stata la conclusione del gioco ed alle 19 la premiazione. La squadra vincitrice è stata l’E-Quipe che dopo tre secondi posti nelle prime tre edizioni si è dimostrata senz’altro la migliore (ed anche la più diabolica per essere riuscita a depistare le altre squadre). Secondi e terzi sono arrivati i Jumpin Jester ed i Crackers Salati rispettivamente dalla Sardegna!!! e da Trento.

Il Security Summit si è svolto nelle giornate dal 14 al 16 Marzo: 9 ore al giorno per un totale di 37 incontri tra tavole rotonde, atelier tecnologici delle aziende, seminari delle associazioni e convegni tutti di altissimo livello. Le aule erano tutte colme di persone, segno della qualità degli interventi e dell’alto livello dei relatori.

Da menzionare i tre keynote internazionali presenti alle sessioni plenarie: Jon Orbeton (“Cyberstalking ai Criminali Digitali” – 14 marzo), Bruce Schneier (“Cyberwar and the Future of Cyber Conflict” – 15 marzo) e Philippe Langlois (“Security dynamics worldwide, why did we end up in this world? And what’s next?” – 16 marzo).

Per un’analisi più approfondita degli interventi rimando all’ottimo post  sul blog “Glamis on Security” di Federico Filacchione.

Particolarmente piacevoli sono state le due serate dell’Hacking Film Festival durante le quali, in un clima informale, sono stati proiettati filmati indipendenti sul tema dell’hacking e della (in)sicurezza seguiti da un dibattito tra Raoul Chiesa, Alessio Pennasilico, Giovanni Ziccardi, Pierluigi Perri, ed i partecipanti che hanno resistito alla giornata di seminari/convegni.
Per concludere in bellezza, al termine del dibattito, c’è stato un aperitivo con degustazione di vino bianco…

In attesa dell’edizione del Security Summit di Roma, che si svolgerà l’8 ed il 9 giugno, sul sito del Security Summit è possibile trovare le slide di tutti gli interventi.

La lezione del modulo CCNA Discovery 1 “Networking for home and small businesses” che ho tenuto riguardava il capitolo 8 “Basic security” ma visto l’interesse ed il coinvolgimento dei partecipanti abbiamo potuto spaziare oltre il curriculum Cisco e discutere di sicurezza a 360°: ingegneria sociale, spam, phishing, smishing, malware, virus, botnet, social media, stuxnet e operation payback.
Le 3 ore di lezione sono volate; non è stato necessario neanche fare una pausa, finendo oltre l’orario previsto.

È stato veramente stimolante fare questa lezione: di iniziative come queste ce ne dovrebbero essere di più…

Sono partito con Gaia Cingolani (Secretary IISFA) e Massimiliano Graziani (Webmaster IISFA), entrambi soci fondatori e membri del board IISFA, nel primo pomeriggio di Venerdì 17 Dicembre per poter partecipare anche alla cena sociale che si sarebbe svolta in serata.
Il viaggio inizia con una memorabile nevicata romana e con la preoccupazione per le condizioni atmosferiche che avremmo trovato durante il viaggio.
Dopo qualche imprecazione nei confronti di Massimiliano e del suo navigatore satellitare da parte di Gaia (la quale ha raggiunto il luogo dell’appuntamento accompagnata dal padre nel traffico impazzito di Roma, per poi ripassare sotto casa sua), riusciamo a prendere l’autostrada dopo quasi 2 ore di auto!
Il disappunto nei confronti del navigatore di Massimiliano si placa quando veniamo informati telefonicamente che l’altra vettura dei “romani” è da due ore bloccata sul raccordo.

La neve ed il traffico rendono il viaggio un’odissea; in alcuni  punti si è viaggiato sull’autostrada incolonnati in prima… Il viaggio sarà ben più lungo del previsto ma per quanto mi riguarda passa piacevolmente parlando con Gaia e Massimiliano, che rimane sempre concentrato sulla guida soprattutto fino a Caianello, quando finalmente smette di nevicare.

Finalmente arriviamo a Vietri sul mare, ma ancora una volta il navigatore satellitare sbaglia, conducendoci su una strada deserta e buia senza uscita costringendoci a chiedere indicazioni per l’hotel.
Stanchi per il viaggio arriviamo finalmente a destinazione dove ad attenderci c’è l’avvocato Mario Ianulardo che ci fa da padrone di casa…
Si è fatto tardi… tempo di una breve pausa in albergo e poi subito a cena; gli altri, visto il ritardo, arriveranno direttamente al ristorante.

Il tempo non ci assiste ed una fastidiosa pioggia non ci permette di apprezzare il centro di Salerno; mentre attendiamo di riunirci con gli altri abbiamo soltanto la possibilità di ammirare l’albero di Natale di piazza Portanova completamente illuminato.

La cena presso la taverna Santa Maria De Demno è stata ottima; si è gustato dell’ottimo cibo in un clima amichevole e goliardico…
Raggiungiamo sfiniti l’albergo per il meritato riposo. Purtroppo anche durante la notte il vento non si placa.

Sabato 18 il tempo è nuvoloso; non facciamo in tempo ad arrivare al meraviglioso castello che inizia a piovere.
Dalla terrazza del Castello di Arechi si riesce ad avere una splendida veduta di Salerno e della costiera amalfitana; il castello è molto suggestivo e la sala conferenze si riempie rapidamente anche grazie ai numerosi studenti, universitari e non, accorsi all’evento.

Complimenti al board IISFA, al presidente Gerardo Costabile e a Mario Ianulardo, per l’ottima organizzazione e per la scelta della location, nonostante il poco tempo a disposizione per organizzare il tutto.

Il tema del convegno è stato “Infowar & Cybersecurity Conference: diplomazia digitale, wikileaks, cyberdefense e nuove minacce digitali“; la durata di circa tre ore ha permesso di effettuare una panoramica su tali argomenti, sebbene si sarebbe potuto continuare a parlare per giorni con approfondimenti specifici.
Uno degli interventi che ha suscitato maggiore interesse nella platea è stato quello di Matteo Flora che ha presentato delle slide in merito a “CYBER WARFARE & CYBER-GUERRILLA: dal terrorismo digitale alla guerriglia digitale“. Le slide di tutti gli interventi le potete trovare sul sito dell’IISFA.

Durante il convengo ho avuto modo di salutare Andrea, con cui ho partecipato quest’anno al CyberCop, e Gaetano, che mi ha rubato l’ultimo posto (in ordine temporale!) tra i certificati CIFI.
Al termine degli interventi è stato offerto a tutti i presenti un pranzo in piedi e la possibilità di visitare il museo del castello. Per ragioni di tempistiche, memori del viaggio del giorno precedente, io, Massimiliano e Gaia abbiamo deciso di ripartire il prima possibile perdendoci la torta con il logo IISFA e la visita del museo.
Fortunatamente  il viaggio di ritorno è stato meno problematico di quello dell’andata, ed arriviamo a Roma verso le 17.

Questo evento è stato per me  un’occasione per conoscere meglio, anche al di fuori dei seminari, alcuni soci e membri del board IISFA, che oltre ad essere  professionisti di assoluto valore, si sono dimostrati essere persone cordiali e alla mano in compagnia delle quali è stato davvero piacevole trascorrere questi due giorni.
Un saluto ed un ringraziamento particolare va a Gaia e Massimiliano con cui ho condiviso un lungo (causa neve) ma piacevolissimo viaggio in auto.

grazie alle nozioni apprese nel corso in “Diritto Penale dell’Informatica” e all’esperienza maturata al CyberCop2010 (di cui potete trovare un racconto sulla newsletter 4 di IISFA) ho deciso di provare a prendere la certificazione CIFI (Certified Information Forensics Investigator).

L’esame è stato decisamente complesso, non tanto per il tempo a disposizione (più che sufficiente essendo l’esame stato tradotto in italiano) quando per la varietà e specificità delle domande.

Alla fine ho superato l’esame con un ottimo 76,7%.

Il giorno e mezzo precedente all’esame (praticamente da quando ho avuto la conferma dell’esame) l’ho passato a studiare; purtroppo non esiste (per ora) un libro specifico di preparazione all’esame ed il materiale consigliato sul sito IISFA è veramente troppo.

Personalmente i libri che ho letto dall’inizio del corso presso l’università Lumsa (gennaio 2010), sono stati:

PHISHING E FURTO D’IDENTITA’ DIGITALE
Cajani Francesco, Costabile Gerardo, Mazzaraco Giuseppe
http://www.giuffre.it/servlet/page?_pageid=56&_dad=portal30&_schema=PORTAL30&APCodVolume=133947

LA PERIZIA E LA CONSULENZA TECNICA
Aterno Stefano, Mazzotta Paolo
http://www.hoepli.it/libro/la-perizia-e-la-consulenza-tecnica/9788813268619.asp

Ma utilissimi (praticamente da imparare a memoria) per l’esame sono stati soprattutto:

COMPUTER FORENSICS
Andrea Ghirardini, Gabriele Faggioli
http://www.apogeonline.com/libri/88-503-2593-2/scheda

IISFA MEMBERBOOK 2009: DIGITAL FORENSICS
http://www.iisfa.net/index.php?option=com_content&view=category&layout=blog&id=30&Itemid=49
(riservata ai soci IISFA)

Oltre ovviamente alle circa 100 pagine di appunti presi durante il corso di “Diritto Penale dell’Informatica”.
Non ho ancora avuto invece modo di leggere il libro di Casey “DIGITAL FORENSICS AND INVESTIGATION“, ma penso sarà uno dei prossimi.

Concludo con i ringraziamenti:
agli organizzatori ed ai docenti del corso Lumsa in Diritto Penale dell’Informatica, che è stato veramente interessante e di altissimo livello;
agli organizzatori ed ai compagni di squadra del CyberCop2010, grazie ai quali ho avuto la possibilità di mettere in pratica quanto appreso nel corso e sperimentare “sul campo” tutto ciò che sui libri o in aula non può essere appreso;
al board e ai soci IISFA, sempre prodighi di suggerimenti e pronti a condividere la loro esperienza con i soci più giovani e meno esperti della materia, quale sono io.