Il 29 maggio 2021 si svolgerà la nuova edizione di HackInBo, la prima e più attesa conferenza gratuita su sicurezza informatica e hacking, che ogni anno attira migliaia di partecipanti da tutta la penisola.
Il programma è ricco di interventi interessanti e io sarò impegnato con la realizzazione di un laboratorio interamente dedicato al processo di preservazione delle prove presenti sul web:
Questo intervento si svolgerà sotto forma di laboratorio per l’acquisizione forense di pagine web. Nello specifico ragioneremo su una metodologia che si possa poi applicare a vari strumenti, a seconda dei casi. Mostrerò alcuni esempi di acquisizioni e ne approfitteremo per una discussione comparativa e il ruolo dei vari tool quali Wireshark, OSIRT Browser, mitmproxy, Archiveweb.page, Carbon14 e i siti di archiviazione come WayBack Machine.
Si tratta di un argomento sempre più rilevante, in quanto cristallizzare il contenuto di pagine web, articoli di giornale, blog e social network è spesso utile nei procedimenti legali per difendersi o tutelare i propri interessi.
Indicazioni operative
L’evento si svolgerà interamente online e sarà trasmesso in streaming. I biglietti per iscriversi e partecipare ai vari laboratori di questa Lab Edition saranno disponibili a partire dal 6 maggio (domani) alle 10:00. Fate riferimento direttamente al sito ufficiale di HackInBo per l’iscrizione.
Riguardo il mio intervento, per seguirlo attivamente vi sarà necessario scaricare un po’ di software: alcuni sono multipiattaforma, altri funzionano solo su Windows. Per questo è caldamente consigliata una VM con Windows 7 o 10 scaricabile da qui.
Nell’ambito del ciclo di seminari che seguono la conclusione della Open Source Digital Forensics Conference 2020, sono stato invitato a tenere un intervento online che si svolgerà il mese prossimo.
L’incontro, organizzato da Basis Technology, verterà sull’analisi forense di partizioni NTFS. In particolare, parlerò di RecuperaBit, il mio software per la ricostruzione di file system NTFS danneggiati. Il webinar è destinato a un pubblico internazionale, perciò sarà interamente in lingua inglese.
La diretta avrà luogo il 3 marzo 2021 a partire dalle 17:00, ora italiana. La registrazione sarà disponibile esclusivamente per chi si sarà registrato (gratuitamente) all’evento.
Questo è l’abstract:
RecuperaBit: Present and Future of NTFS Reconstruction
File system corruption, either accidental or intentional, may compromise the ability to access and recover the contents of files during data recovery and digital forensics activities. Conventional techniques, such as file carving, allow for the recovery of file contents partially, without considering the file system structure. However, the loss of metadata may prevent the attribution of meaning to extracted contents, given by file names or timestamps. RecuperaBit implements a signature recognition process that matches and parses known file records, followed by a bottom-up reconstruction algorithm which is able to recover the structure of the file system by rebuilding the entire tree, or multiple subtrees if the upper nodes are missing. Partition geometry is determined even if the boundaries are unknown by applying an approximate string matching algorithm.
This talk aims to introduce the algorithms used by RecuperaBit and to discuss future plans to make the tool more usable, streamlined and user-friendly by re-thinking its command line user interface.
Per prenotare il vostro posto e seguire il webinar, potete utilizzare il link:
L’associazione ONIF (Osservatorio Nazionale Informatica Forense) organizza un seminario online completamente gratuito, con l’obiettivo di consentire, anche in questo periodo di restrizioni, di poter accedere ad un aggiornamento professionale con i migliori esperti del settore.
Il webinar sulla Digital Forensics è particolarmente indicato per consulenti tecnici, avvocati e professionisti informatici. Nello specifico, il programma propone interventi relativi a multimedia forensics, mobile forensics e attività di OSINT e acquisizione forense di Instagram:
15:00 · Saluti del Presidente C3I Ing. Armando Zambrano
15:05 · Introduzione del Presidente ONIF Paolo Reale, delegato C3I Ordine di Roma
15:15 · Multimedia Forensics nell’era della computational photography Massimo Iuliani
15:40 · Data validation di informazioni derivanti da estrazione mobile con altri elementi Nicola Chemello
16:05 · Uso delle API di Instagram per l’acquisizione forense Andrea Lazzarotto
16:30 · Mac computer data access with MacQuisition Tim Thorne, Senior Solutions Expert at Cellebrite
16:50 · Sponsored talk Cellebrite
17:10 · Q&A e saluti Paolo Reale, delegato C3I Ordine di Roma
L’evento, moderato da Ugo Lopez, è organizzato con il patrocinio del Comitato Italiano Ingegneria dell’Informazione C3I, dell’Ordine degli Ingegneri di Roma e di Bari e la collaborazione di Cellebrite.
Per partecipare è obbligatorio procedere all’iscrizione gratuita sulla piattaforma EventBrite, facendo click sul seguente pulsante. Il numero di posti è limitato.
Potete scaricare il materiale (slide e esempi di codice) del mio intervento cliccando qui.
I video dei talk sono stati pubblicati in una playlist su YouTube. Nel video incorporato qui sotto potete cliccare sul tasto in alto a destra per accedere agli altri contenuti:
Chi di voi si interessa al salvataggio dei contenuti audio/video dai siti web avrà sicuramente già sentito parlare di YouTube-dl. Si tratta di un software completamente open source, rilasciato addirittura nel pubblico dominio, che nel sito ufficiale è presentato in modo molto semplice:
YouTube-dl è un programma a riga di comando per scaricare video da YouTube.com e da qualche altro sito.
In realtà, a dispetto del nome “limitante”, il programma contiene oltre 1000 estrattori per le fonti più disparate, riunendo la potenza di strumenti esterni, quali FFmpeg, con codice scritto ad-hoc per moltissimi siti.
Concettualmente, l’idea è simile ai miei script per i siti delle TV italiane: si scrive del codice specifico che si adatta ai portali che si desidera supportare. Finora questo codice era mantenuto sulla piattaforma GitHub, la più grande comunità di sviluppatori software del mondo, di proprietà di Microsoft.
La richiesta di rimozione
Il 23 ottobre 2020, la Recording Industry Association of America (RIAA) ha presentato un’istanza di rimozione ai sensi del Digital Millenium Copyright Act (DMCA), richiedendo la rimozione del repository principale del progetto, nonché svariate versioni clonate o derivate (dette fork).
La vicenda è stata spiegata nel dettaglio su XDA Developers ma, riassumendo, la RIAA sostiene che YouTube-dl sia uno strumento atto a violare i diritti di copyright dei suoi assistiti (artisti e case discografiche). In realtà ci sono diversi aspetti problematici relativi a questa argomentazione.
Youtube-dl is a legitimate tool with a world of a lawful uses. Demanding its removal from Github is a disappointing and counterproductive move by the RIAA. https://t.co/VUbTokd4cP
Il tweet della EFF dove si spiega che YouTube-dl è uno strumento legittimo, con svariate applicazioni perfettamente legali
Come ha spiegato la Electronic Frontier Foundation (EFF), YouTube-dl è uno strumento lecito e può essere utilizzato per molti scopi assolutamente validi. Restando nell’ambito di YouTube, senza quindi citare le centinaia di altri siti web supportati, si possono scaricare video con licenza Creative Commons o nel pubblico dominio, come quelli governativi.
Inoltre, alcuni creatori di contenuti o persone che appaiono nei video usano il programma per scaricare i propri contenuti. Ne so qualcosa anch’io.
Insomma, sostenere che un software del genere sia illegale è un po’ come richiedere che sia proibita la vendita dei coltelli da cucina, in quanto oltre a sfilettare il pesce ci si possono potenzialmente fare altre cose.
Oltre a questo, la RIAA (entità americana) nella propria istanzamette insieme un’accozzaglia di motivazioni diverse, citando il DMCA (una legge statunitense) e subito dopo facendo riferimento a una decisione della Corte Regionale di Amburgo ai sensi del diritto tedesco. (?!?!?)
GitHub è un’entità americana, quindi deve sottostare alle richieste DMCA, tuttavia il fatto che tale atto abbia ripercussioni su tutti gli utenti a livello mondiale è una conseguenza che non deve essere sottovalutata.
Infine, è opportuno spiegare che l’unica possibilità che resta agli sviluppatori, volendo restare su GitHub, è quella di opporsi all’istanza, andando incontro a lunghe e costose vicende giudiziarie. In sostanza, presentare la richiesta per la RIAA è semplice ed economico, contrastarla richiede molto denaro ed è difficile, specie per un progetto open source.
Le reazioni in rete
Oltre alla citata presa di posizione della EFF (che fa quindi ben sperare in un coinvolgimento in difesa degli sviluppatori), non sono mancate numerose reazioni online.
Altre persone hanno cominciato a condividere nuove copie del codice (o, in gergo, forkare) su GitHub stesso, nonché su GitLab, BitBucket e tutte le piattaforme “alternative” ad esso, famose o meno.
Tuttavia, mi vorrei soffermare su due casi che ho visto online e che sono assolutamente fenomenali.
Innanzitutto, l’utente Twitter lrvick ha utilizzato un difetto noto da tempo a GitHub (e considerato “indegno” di essere corretto) per inserire una copia del codice sorgente di YouTube-dl direttamente all’interno del repository DMCA di GitHub.
Hey @GitHub. Remember that security bug where anyone can attach commits to repos they don't control? That bug you said you wont fix?
It was used to attach the "youtube-dl" source code to your own DMCA repo. Have fun @DMCA.
— Lance R. Vick ( @lrvick@mastodon.social ) (@lrvick) October 25, 2020
Quindi, a livello teorico, ora la RIAA dovrebbe richiedere a GitHub di cancellare il repository di tutte le istanze DMCA, in quanto contiene il codice “incriminato”. 😀
Per farsi beffe di YouTube, invece, l’utente GitHub gasman ha condiviso un piccolo pezzo di codice e un video postato su YouTube, che contiene una codifica visuale (in binario) del codice sorgente del programma.
Scaricando e decodificando questo video, caricato su YouTube, è possibile ottenere una copia funzionante del codice di YouTube-dl
A tutti gli effetti, gli utenti ora possono usare YouTube per condividere con gli altri un software usato per scaricare i video di tale sito.
In attesa di vedere l’evolversi della vicenda, è importante capire quali opzioni rimangono per scaricare i video da YouTube e da altri siti web, per scopo personale o comunque per altri usi legittimi.
Innanzitutto, c’è da chiarire che i download del programma sul sito ufficiale sono ancora attivi. Nel dubbio, è meglio usare solo yt-dl.org e ottenere una copia del software da lì. Gli utenti Linux e macOS possono usare anche Homebrew, pip o il proprio gestore di pacchetti.
Chi preferisce provare qualche alternativa può valutare l’uso di The Stream Detector (in accoppiata con streamlink oppure ffmpeg), JDownloader o altri programmi. Nei casi più difficili, può tornare utile leggere la mia guida completa per il download dei contenuti audio e video presenti nelle pagine web.
La cosa più importante rimane, in ogni caso, diffondere la conoscenza di questa vicenda e riflettere sulle conseguenze che atti del genere possono avere sulla nostra fruizione dei contenuti web.
Aggiornamento: il 16 novembre 2020 GitHub ha annunciato di avere reintegrato il repository del progetto, anche in seguito a una risposta ufficiale di EFF e alcune modifiche effettuate sul codice sorgente.
Dal 30 settembre al 2 ottobre 2020 si terrà la terza edizione di Treviso Forensic, uno dei principali appuntamenti tra professionisti (tecnici, avvocati, magistrati, …) che operano nel settore delle scienze tecniche applicate in ambito forense.
L’evento è organizzato dall’Ordine degli Ingegneri di Treviso e favorisce la figura del tecnico forense, con un approccio multidisciplinare che coinvolge diverse scienze.
La mattina del 2 ottobre conterrà una sessione interamente dedicata alla digital forensics e parteciperò con un intervento intitolato “Falsificazione dei messaggi WhatsApp sui dispositivi Android e iOS”.
Qui ve ne anticipo l’introduzione:
In Italia WhatsApp è la piattaforma di messaggistica istantanea più popolare in assoluto, con una penetrazione del mercato dell’84%. Questo fa sì che la produzione delle relative conversazioni si presenti sempre più frequentemente in vari procedimenti. I consulenti tecnici sono chiamati ad estrarre le chat dai dispositivi personali delle parti, in quanto il contenuto dei messaggi non viene conservato sui server.
Trattandosi di messaggi non riscontrabili dai tabulati telefonici, si pone il problema di valutare la genuinità e l’integrità del contenuto delle chat. Il presente lavoro è nato con lo scopo di verificare se fosse possibile per un utente falsificare i messaggi WhatsApp all’interno del proprio dispositivo, con Android o iOS.
Il talk conterrà un breve riassunto di un argomento che ho già avuto modo di trattare l’anno scorso al convegno ONIF, per poi presentare per la prima volta in assoluto una dimostrazione di messaggi WhatsApp falsificati su iOS.
Prima
Dopo
Esempio di chat modificata
Quest’anno, data la particolare situazione sanitaria causata dalla diffusione del Covid-19, il seminario si terrà in modalità webinar tramite la piattaforma Zoom.
Ciò significa che non potremo godere della vista di una città bella come Treviso, in compenso la partecipazione potrà essere estesa anche alle persone che si trovano più lontano.
