- Nozioni di diritto internazionale
Teorico:
Fondamenti del diritto internazionale applicato alla cyber security.
La protezione dei dati personali e le leggi globali sulla privacy (GDPR, Convenzione di Budapest).
Pratico:
Analisi di un caso di violazione della privacy o attacco cyber che ha implicazioni legali internazionali.
- Procedure investigative
Teorico:
Il processo investigativo: raccolta e analisi delle prove digitali.
La sequenza delle operazioni: identificazione, raccolta, conservazione e analisi.
Pratico:
Esercitazione sulla creazione di una cronologia di eventi in un caso di attacco informatico.
- Analisi degli obiettivi
Teorico:
Identificazione degli obiettivi in un’indagine cyber: cosa cercare, da dove partire.
Metodologie di profiling degli obiettivi (individui, gruppi, aziende).
Pratico:
Discussione su come analizzare il comportamento online di un “target” (ad esempio, un sospetto criminale).
- Analisi dei rischi e pericoli
Teorico:
Tipologie di rischi in un’indagine cyber: minacce esterne (hacker, malware), minacce interne (insider threat).
Tecniche di gestione del rischio.
Pratico:
Esercitazione su come valutare i rischi associati a una specifica vulnerabilità informatica.
- Diversi ambiti di investigazione
Teorico:
Cybercrime, terrorismo, spionaggio aziendale, crimine organizzato, ecc.
Tecniche investigative applicabili in ciascun settore.
Pratico:
Analisi di casi di studio specifici per ogni ambito (ad esempio, attacchi di phishing nel cybercrime, o indagini sulla darknet).
- Il crimine organizzato in Italia
Teorico:
Panoramica sul crimine organizzato in Italia (Mafia, Camorra, ‘Ndrangheta).
Tecniche investigative utilizzate contro il crimine organizzato.
Pratico:
Studio di un caso di crimine organizzato che coinvolge tecniche digitali, come il riciclaggio di denaro tramite criptovalute.
- Il crimine organizzato all’estero
Teorico:
Come il crimine organizzato si sviluppa e opera in altri paesi.
Il traffico di droga, armi e esseri umani nel contesto digitale.
Pratico:
Esercitazione pratica di geolocalizzazione delle attività criminali usando strumenti digitali (come i tracker satellitari o le indagini su social media).
- Sorveglianza tecnologica avanzata
Teorico:
Strumenti e tecniche di sorveglianza (droni, telecamere IP, software di monitoraggio).
Pratico:
Simulazione di una sorveglianza digitale usando strumenti di tracciamento o analisi dei dispositivi mobili.
- Tecnologie per lo spionaggio
Teorico:
Tecnologie avanzate nello spionaggio: malware, software di sorveglianza, spyware.
Pratico:
Analisi di un caso di spionaggio informatico, come il malware Pegasus, e la sua applicazione nelle indagini.
- Nozioni di informatica
Teorico:
Fondamenti di informatica necessari per la cyber investigation: sistemi operativi, reti, protocolli di comunicazione.
Introduzione alla sicurezza delle reti e dei sistemi.
Pratico:
Esercitazione pratica sull’uso di strumenti di analisi di rete e controllo delle vulnerabilità di sicurezza (ad esempio, Wireshark).
- Crimini informatici
Teorico:
Tipi di crimini informatici: hacking, phishing, frodi online, cyberbullying.
La legislazione sui crimini informatici e le sanzioni.
Pratico:
Discussione di un caso di crimine informatico reale e delle tecniche investigative usate per risolverlo.
- Rischi terroristici
Teorico:
Panoramica dei rischi legati al terrorismo nel cyberspazio.
Le tecniche di radicalizzazione online e i pericoli derivanti dalle comunicazioni criptate.
Pratico:
Studio di un caso di utilizzo di Internet per scopi terroristici (ad esempio, il caso delle comunicazioni via Dark Web).
- Simulazione di un’indagine completa
Obiettivo: Far sperimentare ai partecipanti l’intero processo investigativo cyber, dalla raccolta delle informazioni alla creazione di un rapporto finale.
Contenuti Teorici:
Panoramica del processo investigativo: raccolta, analisi e presentazione delle prove.
Tecniche di “forensic” digitale: identificare, raccogliere e preservare dati digitali.
La creazione di una “cronologia digitale” (timeline), essenziale in qualsiasi indagine.
Gestione della catena di custodia dei dati digitali.
Considerazioni etiche e legali: quando e come ottenere le informazioni in modo legittimo.
Attività Pratica:
Caso di studio simulato: Fornisci un caso di cybercrimine in cui i partecipanti devono raccogliere prove da diversi dispositivi (computer, smartphone, server) e documentare ogni fase.
I partecipanti devono analizzare le informazioni raccolte e costruire una cronologia dei fatti.
Ogni gruppo di partecipanti può svolgere una parte dell’indagine: alcuni possono concentrarsi sull’analisi delle reti, altri sui dispositivi, altri ancora sulle comunicazioni online.
Strumenti pratici:
Software di analisi forense (come FTK Imager, Autopsy).
Strumenti di analisi delle reti (Wireshark, tcpdump).
- Analisi di una rete criminale online
Obiettivo: Insegnare come raccogliere informazioni tramite l’analisi della “dark web” e altre fonti non convenzionali (OSINT), per identificare e smantellare reti criminali.
Contenuti Teorici:
La “dark web” e la “deep web”: differenze e come navigarle in modo sicuro.
Strumenti di OSINT (Open Source Intelligence) per la raccolta di informazioni su gruppi criminali.
Tecniche di analisi delle comunicazioni e dei mercati illegali online.
Tecniche di de-anonimizzazione degli utenti: tracciare le attività online attraverso indizi lasciati dai criminali.
Monitoraggio dei social network e forum come strumento per individuare attività sospette.
Attività Pratica:
Simulazione di ricerca OSINT: I partecipanti devono analizzare la dark web (utilizzando strumenti sicuri come Tor) per identificare indizi relativi a una rete criminale, come mercati illegali, comunicazioni criptate, transazioni illecite.
Creare un rapporto su come le informazioni raccolte potrebbero portare all’individuazione di membri di una rete criminale.
Strumenti pratici:
Tor, I2P, Tails per l’accesso sicuro alla dark web.
Maltego (per l’analisi delle relazioni tra entità online).
Shodan (per l’esplorazione di dispositivi connessi a Internet).
- Simulazione di un attacco e difesa in un ambiente sicuro
Obiettivo: Fornire ai partecipanti esperienza pratica nella gestione di un incidente di sicurezza cyber in tempo reale, sia dal punto di vista dell’attaccante che del difensore.
Contenuti Teorici:
Le fasi di un attacco informatico: ricognizione, exploit, accesso, persistenza, esfiltrazione.
Le tecniche di difesa: monitoraggio delle reti, sistemi di rilevamento delle intrusioni (IDS/IPS), firewall, antivirus.
L’importanza delle contromisure: patching, gestione delle vulnerabilità, segmentazione della rete.
L’analisi post-attacco: come raccogliere prove, identificare la causa e fermare un attacco in corso.
Attività Pratica:
Simulazione di un attacco a una rete aziendale: In questo scenario, i partecipanti possono essere divisi in due gruppi: uno attacca e l’altro difende.
Gli attaccanti potrebbero tentare un attacco di phishing, un’iniezione SQL o sfruttare una vulnerabilità zero-day.
Il gruppo difensivo deve rilevare e fermare l’attacco, utilizzando IDS/IPS, firewall e altre misure di sicurezza.
Dopo l’incidente: I difensori dovranno analizzare i log e creare una reportistica sull’attacco subito, includendo l’analisi forense delle prove e suggerendo miglioramenti alla sicurezza.
Strumenti pratici:
Kali Linux (per l’attacco).
Metasploit (framework per test di penetrazione).
Snort, Suricata (IDS/IPS).
Wireshark per l’analisi dei pacchetti.
- Workshop interattivo sulla gestione di un incidente di sicurezza cyber
Obiettivo: Approfondire il processo di risposta a un incidente, con un focus sulle operazioni post-incidente, la gestione della crisi e la comunicazione.
Contenuti Teorici:
La gestione di un incidente di sicurezza: definizione del “incidente”, risposta immediata e valutazione dei danni.
Processi e procedure in una risposta all’incidente (IRP – Incident Response Plan).
Comunicazione e cooperazione con le autorità, i clienti e il pubblico (la gestione della crisi).
Analisi delle vulnerabilità e prevenzione di futuri attacchi.
Attività Pratica:
Workshop pratico di risposta a un incidente: I partecipanti devono seguire un piano di risposta a un incidente cyber, che include il rilevamento, l’isolamento, l’analisi e la risoluzione dell’incidente.
Ogni gruppo avrà un ruolo specifico (team tecnico, team di gestione, team legale e di comunicazione).
Simulazione di una violazione di dati e come rispondere legalmente ed eticamente.
Strumenti pratici:
Software di gestione degli incidenti come TheHive, RTIR (per gestione delle informazioni sugli incidenti).
Sistemi di monitoraggio delle anomalie in tempo reale (Zabbix, Nagios).
- Esercitazione finale: Indagine complessa su un crimine informatico
Obiettivo: Mettere insieme tutto ciò che i partecipanti hanno appreso nei moduli precedenti, con un’analisi approfondita di un caso complesso che coinvolge diverse tecniche investigative.
Contenuti Teorici:
Integrare tutte le tecniche acquisite: spionaggio, analisi OSINT, crimine informatico, gestione degli incidenti.
Costruire un caso completo: analizzare prove digitali, fare inferenze su base di dati raccolti, utilizzare il diritto internazionale.
La scrittura di un rapporto investigativo e la preparazione alla testimonianza in tribunale.
Attività Pratica:
Caso pratico: Fornisci ai partecipanti un caso complesso che coinvolge crimine informatico, come un attacco a una rete aziendale per rubare dati sensibili o il riciclaggio di denaro tramite criptovalute.
I partecipanti devono condurre l’intera indagine, raccogliendo prove, analizzando dati e costruendo una narrazione coerente.
Alla fine del modulo, ogni gruppo presenterà i risultati dell’indagine, il piano di difesa e le azioni legali consigliate.
Strumenti pratici:
Tutti gli strumenti utilizzati nei moduli precedenti: software forensi, strumenti OSINT, piattaforme di analisi dei dati.
Scrittura di rapporti utilizzando strumenti professionali come Microsoft Word o LaTeX per la redazione di documenti investigativi.