Sicurezza & Forense: differenze tra le versioni

Da GazziNet.
Vai alla navigazione Vai alla ricerca
(Riorganizza la pagina con struttura piu chiara e coerente)
(Improve security page with open-source forensic workflow and tools)
 
Riga 1: Riga 1:
__NOTOC__
__NOTOC__
Raccolta rapida di risorse su sicurezza informatica, laboratorio e forense.
Raccolta rapida di risorse su sicurezza informatica, laboratorio e analisi forense, con focus su strumenti open source e workflow operativi riutilizzabili.


== Formazione ==
== Formazione ==
* Corsi formazione:
* Corsi formazione: [https://www.udemy.com/it/topic/ethical-hacking/?srsltid=AfmBOord-pnA6pz88p_9l6hmDlC-0A_o4fwN0ZCeE0J6eaVvB5g3VbAm Udemy Ethical Hacking]
** https://www.udemy.com/it/topic/ethical-hacking/?srsltid=AfmBOord-pnA6pz88p_9l6hmDlC-0A_o4fwN0ZCeE0J6eaVvB5g3VbAm


== Laboratori e test ==
== Laboratori e test ==
* https://www.hackthebox.com/
* [https://www.hackthebox.com/ Hack The Box]
* https://tryhackme.com/
* [https://tryhackme.com/ TryHackMe]
* https://labs.iximiuz.com/playgrounds/kali-linux
* [https://labs.iximiuz.com/playgrounds/kali-linux Kali Linux Playground]
* https://labs.iximiuz.com/playgrounds/docker/
* [https://labs.iximiuz.com/playgrounds/docker/ Docker Playground]
* https://iximiuz.com/en/archive/
* [https://iximiuz.com/en/archive/ Archivio iximiuz]


== Distribuzioni e tool ==
== Distribuzioni e tool ==
* Distribuzioni Linux per la security: [[KALI Linux]]
* Distribuzioni Linux per la security: [[KALI Linux]]
* Tool versatili: [[Flipper Zero]]
* Tool versatili: [[Flipper Zero]]
== Analisi forense con strumenti open ==
=== Obiettivi minimi ===
* preservare le evidenze
* documentare chi ha fatto cosa e quando
* distinguere acquisizione, analisi e reporting
* evitare modifiche inutili al sistema o al supporto sotto analisi
=== Workflow sintetico ===
# identificare il perimetro: host, supporto, account, finestra temporale, evento
# raccogliere informazioni volatili se il sistema e acceso
# acquisire copia forense o dump coerente con il caso
# calcolare hash e conservare metadati
# analizzare timeline, artefatti, log, file sospetti e persistenza
# produrre un report con evidenze, limiti e conclusioni
=== Strumenti open source utili ===
* '''Autopsy / Sleuth Kit''': analisi filesystem, timeline, carving, metadati, browsing dell'immagine disco
* '''Volatility / Volatility 3''': analisi forense della memoria RAM, processi, connessioni, DLL, persistence, injection
* '''Plaso / log2timeline''': costruzione di timeline da molte sorgenti e correlazione temporale
* '''YARA''': identificazione di file o processi compatibili con pattern malware o famiglie note
* '''bulk_extractor''': estrazione rapida di indicatori e artefatti da immagini o dump senza mounting tradizionale
* '''dc3dd / dd''': acquisizione disco o partizione con hashing e logging
* '''TestDisk / PhotoRec''': recupero partizioni, strutture filesystem e file cancellati
* '''Wireshark / tcpdump / Zeek''': analisi traffico rete, sessioni, indicatori e anomalie
* '''rsync / tar / sha256sum''': supporto a raccolta controllata, packaging evidenze e verifica integrita
=== Acquisizione disco ===
Prima di lavorare su un supporto, preferire copia in sola lettura o immagine forense. Annotare sempre origine, data, sistema e hash.
<pre>
lsblk -f
fdisk -l
sha256sum /dev/sdX
sudo dd if=/dev/sdX of=/percorso/evidenza.img bs=4M status=progress conv=noerror,sync
sha256sum /percorso/evidenza.img
</pre>
=== Analisi memoria ===
Se il caso richiede analisi live, raccogliere prima le informazioni volatili e solo dopo valutare restart o isolamento piu invasivo.
<pre>
vol -f memoria.raw windows.info
vol -f memoria.raw windows.pslist
vol -f memoria.raw windows.netscan
vol -f memoria.raw windows.cmdline
</pre>
=== Timeline e correlazione ===
Per incidenti complessi, la timeline e spesso piu utile della sola ricerca manuale nei log.
<pre>
log2timeline.py timeline.plaso /percorso/evidenza
psort.py -o l2tcsv timeline.plaso > timeline.csv
</pre>
=== Ricerca indicatori ===
<pre>
yara -r regole.yar /percorso/evidenza
bulk_extractor -o output_bulk /percorso/evidenza.img
strings file_sospetto | less
file file_sospetto
sha256sum file_sospetto
</pre>
== Buone pratiche ==
* Lavorare su copie, non sull'originale, quando il caso lo consente.
* Annotare timezone, ora del sistema e offset temporali prima di costruire timeline.
* Non fidarsi di un solo artefatto: correlare log, filesystem, RAM e rete.
* Tenere separati fatto osservato, ipotesi e conclusione finale.


== Video utili ==
== Video utili ==
* Esempi di uso di TryHackMe: https://www.youtube.com/watch?v=DDqGdmAmASM
* Esempi di uso di TryHackMe: [https://www.youtube.com/watch?v=DDqGdmAmASM YouTube]

Versione attuale delle 10:12, 14 mar 2026

Raccolta rapida di risorse su sicurezza informatica, laboratorio e analisi forense, con focus su strumenti open source e workflow operativi riutilizzabili.

Formazione

Laboratori e test

Distribuzioni e tool

Analisi forense con strumenti open

Obiettivi minimi

  • preservare le evidenze
  • documentare chi ha fatto cosa e quando
  • distinguere acquisizione, analisi e reporting
  • evitare modifiche inutili al sistema o al supporto sotto analisi

Workflow sintetico

  1. identificare il perimetro: host, supporto, account, finestra temporale, evento
  2. raccogliere informazioni volatili se il sistema e acceso
  3. acquisire copia forense o dump coerente con il caso
  4. calcolare hash e conservare metadati
  5. analizzare timeline, artefatti, log, file sospetti e persistenza
  6. produrre un report con evidenze, limiti e conclusioni

Strumenti open source utili

  • Autopsy / Sleuth Kit: analisi filesystem, timeline, carving, metadati, browsing dell'immagine disco
  • Volatility / Volatility 3: analisi forense della memoria RAM, processi, connessioni, DLL, persistence, injection
  • Plaso / log2timeline: costruzione di timeline da molte sorgenti e correlazione temporale
  • YARA: identificazione di file o processi compatibili con pattern malware o famiglie note
  • bulk_extractor: estrazione rapida di indicatori e artefatti da immagini o dump senza mounting tradizionale
  • dc3dd / dd: acquisizione disco o partizione con hashing e logging
  • TestDisk / PhotoRec: recupero partizioni, strutture filesystem e file cancellati
  • Wireshark / tcpdump / Zeek: analisi traffico rete, sessioni, indicatori e anomalie
  • rsync / tar / sha256sum: supporto a raccolta controllata, packaging evidenze e verifica integrita

Acquisizione disco

Prima di lavorare su un supporto, preferire copia in sola lettura o immagine forense. Annotare sempre origine, data, sistema e hash. 

lsblk -f
fdisk -l
sha256sum /dev/sdX
sudo dd if=/dev/sdX of=/percorso/evidenza.img bs=4M status=progress conv=noerror,sync
sha256sum /percorso/evidenza.img

Analisi memoria

Se il caso richiede analisi live, raccogliere prima le informazioni volatili e solo dopo valutare restart o isolamento piu invasivo. 

vol -f memoria.raw windows.info
vol -f memoria.raw windows.pslist
vol -f memoria.raw windows.netscan
vol -f memoria.raw windows.cmdline

Timeline e correlazione

Per incidenti complessi, la timeline e spesso piu utile della sola ricerca manuale nei log. 

log2timeline.py timeline.plaso /percorso/evidenza
psort.py -o l2tcsv timeline.plaso > timeline.csv

Ricerca indicatori

yara -r regole.yar /percorso/evidenza
bulk_extractor -o output_bulk /percorso/evidenza.img
strings file_sospetto | less
file file_sospetto
sha256sum file_sospetto

Buone pratiche

  • Lavorare su copie, non sull'originale, quando il caso lo consente.
  • Annotare timezone, ora del sistema e offset temporali prima di costruire timeline.
  • Non fidarsi di un solo artefatto: correlare log, filesystem, RAM e rete.
  • Tenere separati fatto osservato, ipotesi e conclusione finale.

Video utili

  • Esempi di uso di TryHackMe: YouTube
Estratto da "https://wiki.gazzi.net/index.php?title=Sicurezza_%26_Forense&oldid=563"