Sicurezza & Forense

Raccolta rapida di risorse su sicurezza informatica, laboratorio e analisi forense, con focus su strumenti open source e workflow operativi riutilizzabili.

Formazione

• Corsi formazione: Udemy Ethical Hacking

Laboratori e test

• Hack The Box
• TryHackMe
• Kali Linux Playground
• Docker Playground
• Archivio iximiuz

Distribuzioni e tool

• Distribuzioni Linux per la security: KALI Linux
• Tool versatili: Flipper Zero

Analisi forense con strumenti open

Obiettivi minimi

• preservare le evidenze
• documentare chi ha fatto cosa e quando
• distinguere acquisizione, analisi e reporting
• evitare modifiche inutili al sistema o al supporto sotto analisi

Workflow sintetico

1. identificare il perimetro: host, supporto, account, finestra temporale, evento
2. raccogliere informazioni volatili se il sistema e acceso
3. acquisire copia forense o dump coerente con il caso
4. calcolare hash e conservare metadati
5. analizzare timeline, artefatti, log, file sospetti e persistenza
6. produrre un report con evidenze, limiti e conclusioni

Strumenti open source utili

• Autopsy / Sleuth Kit: analisi filesystem, timeline, carving, metadati, browsing dell'immagine disco
• Volatility / Volatility 3: analisi forense della memoria RAM, processi, connessioni, DLL, persistence, injection
• Plaso / log2timeline: costruzione di timeline da molte sorgenti e correlazione temporale
• YARA: identificazione di file o processi compatibili con pattern malware o famiglie note
• bulk_extractor: estrazione rapida di indicatori e artefatti da immagini o dump senza mounting tradizionale
• dc3dd / dd: acquisizione disco o partizione con hashing e logging
• TestDisk / PhotoRec: recupero partizioni, strutture filesystem e file cancellati
• Wireshark / tcpdump / Zeek: analisi traffico rete, sessioni, indicatori e anomalie
• rsync / tar / sha256sum: supporto a raccolta controllata, packaging evidenze e verifica integrita

Acquisizione disco

Prima di lavorare su un supporto, preferire copia in sola lettura o immagine forense. Annotare sempre origine, data, sistema e hash.

lsblk -f
fdisk -l
sha256sum /dev/sdX
sudo dd if=/dev/sdX of=/percorso/evidenza.img bs=4M status=progress conv=noerror,sync
sha256sum /percorso/evidenza.img

Analisi memoria

Se il caso richiede analisi live, raccogliere prima le informazioni volatili e solo dopo valutare restart o isolamento piu invasivo.

vol -f memoria.raw windows.info
vol -f memoria.raw windows.pslist
vol -f memoria.raw windows.netscan
vol -f memoria.raw windows.cmdline

Timeline e correlazione

Per incidenti complessi, la timeline e spesso piu utile della sola ricerca manuale nei log.

log2timeline.py timeline.plaso /percorso/evidenza
psort.py -o l2tcsv timeline.plaso > timeline.csv

Ricerca indicatori

yara -r regole.yar /percorso/evidenza
bulk_extractor -o output_bulk /percorso/evidenza.img
strings file_sospetto | less
file file_sospetto
sha256sum file_sospetto

Buone pratiche

• Lavorare su copie, non sull'originale, quando il caso lo consente.
• Annotare timezone, ora del sistema e offset temporali prima di costruire timeline.
• Non fidarsi di un solo artefatto: correlare log, filesystem, RAM e rete.
• Tenere separati fatto osservato, ipotesi e conclusione finale.

Video utili

• Esempi di uso di TryHackMe: YouTube