Corso di Cyber Investigation

4. Nozioni di diritto internazionale

Teorico:

Fondamenti del diritto internazionale applicato alla cyber security.

La protezione dei dati personali e le leggi globali sulla privacy (GDPR, Convenzione di Budapest).

Pratico:

Analisi di un caso di violazione della privacy o attacco cyber che ha implicazioni legali internazionali.

5. Procedure investigative

Teorico:

Il processo investigativo: raccolta e analisi delle prove digitali.

La sequenza delle operazioni: identificazione, raccolta, conservazione e analisi.

Pratico:

Esercitazione sulla creazione di una cronologia di eventi in un caso di attacco informatico.

6. Analisi degli obiettivi

Teorico:

Identificazione degli obiettivi in un’indagine cyber: cosa cercare, da dove partire.

Metodologie di profiling degli obiettivi (individui, gruppi, aziende).

Pratico:

Discussione su come analizzare il comportamento online di un “target” (ad esempio, un sospetto criminale).

7. Analisi dei rischi e pericoli

Teorico:

Tipologie di rischi in un’indagine cyber: minacce esterne (hacker, malware), minacce interne (insider threat).

Tecniche di gestione del rischio.

Pratico:

Esercitazione su come valutare i rischi associati a una specifica vulnerabilità informatica.

8. Diversi ambiti di investigazione

Teorico:

Cybercrime, terrorismo, spionaggio aziendale, crimine organizzato, ecc.

Tecniche investigative applicabili in ciascun settore.

Pratico:

Analisi di casi di studio specifici per ogni ambito (ad esempio, attacchi di phishing nel cybercrime, o indagini sulla darknet).

9. Il crimine organizzato in Italia

Teorico:

Panoramica sul crimine organizzato in Italia (Mafia, Camorra, ‘Ndrangheta).

Tecniche investigative utilizzate contro il crimine organizzato.

Pratico:

Studio di un caso di crimine organizzato che coinvolge tecniche digitali, come il riciclaggio di denaro tramite criptovalute.

10. Il crimine organizzato all’estero

Teorico:

Come il crimine organizzato si sviluppa e opera in altri paesi.

Il traffico di droga, armi e esseri umani nel contesto digitale.

Pratico:

Esercitazione pratica di geolocalizzazione delle attività criminali usando strumenti digitali (come i tracker satellitari o le indagini su social media).

11. Sorveglianza tecnologica avanzata

Teorico:

Strumenti e tecniche di sorveglianza (droni, telecamere IP, software di monitoraggio).

Pratico:

Simulazione di una sorveglianza digitale usando strumenti di tracciamento o analisi dei dispositivi mobili.

12. Tecnologie per lo spionaggio

Teorico:

Tecnologie avanzate nello spionaggio: malware, software di sorveglianza, spyware.

Pratico:

Analisi di un caso di spionaggio informatico, come il malware Pegasus, e la sua applicazione nelle indagini.

13. Nozioni di informatica

Teorico:

Fondamenti di informatica necessari per la cyber investigation: sistemi operativi, reti, protocolli di comunicazione.

Introduzione alla sicurezza delle reti e dei sistemi.

Pratico:

Esercitazione pratica sull’uso di strumenti di analisi di rete e controllo delle vulnerabilità di sicurezza (ad esempio, Wireshark).

14. Crimini informatici

Teorico:

Tipi di crimini informatici: hacking, phishing, frodi online, cyberbullying.

La legislazione sui crimini informatici e le sanzioni.

Pratico:

Discussione di un caso di crimine informatico reale e delle tecniche investigative usate per risolverlo.

15. Rischi terroristici

Teorico:

Panoramica dei rischi legati al terrorismo nel cyberspazio.

Le tecniche di radicalizzazione online e i pericoli derivanti dalle comunicazioni criptate.

Pratico:

Studio di un caso di utilizzo di Internet per scopi terroristici (ad esempio, il caso delle comunicazioni via Dark Web).

16. Simulazione di un’indagine completa

Obiettivo: Far sperimentare ai partecipanti l’intero processo investigativo cyber, dalla raccolta delle informazioni alla creazione di un rapporto finale.

Contenuti Teorici:

Panoramica del processo investigativo: raccolta, analisi e presentazione delle prove.

Tecniche di “forensic” digitale: identificare, raccogliere e preservare dati digitali.

La creazione di una “cronologia digitale” (timeline), essenziale in qualsiasi indagine.

Gestione della catena di custodia dei dati digitali.

Considerazioni etiche e legali: quando e come ottenere le informazioni in modo legittimo.

Attività Pratica:

Caso di studio simulato: Fornisci un caso di cybercrimine in cui i partecipanti devono raccogliere prove da diversi dispositivi (computer, smartphone, server) e documentare ogni fase.

I partecipanti devono analizzare le informazioni raccolte e costruire una cronologia dei fatti.

Ogni gruppo di partecipanti può svolgere una parte dell’indagine: alcuni possono concentrarsi sull’analisi delle reti, altri sui dispositivi, altri ancora sulle comunicazioni online.

Strumenti pratici:

Software di analisi forense (come FTK Imager, Autopsy).

Strumenti di analisi delle reti (Wireshark, tcpdump).

17. Analisi di una rete criminale online

Obiettivo: Insegnare come raccogliere informazioni tramite l’analisi della “dark web” e altre fonti non convenzionali (OSINT), per identificare e smantellare reti criminali.

Contenuti Teorici:

La “dark web” e la “deep web”: differenze e come navigarle in modo sicuro.

Strumenti di OSINT (Open Source Intelligence) per la raccolta di informazioni su gruppi criminali.

Tecniche di analisi delle comunicazioni e dei mercati illegali online.

Tecniche di de-anonimizzazione degli utenti: tracciare le attività online attraverso indizi lasciati dai criminali.

Monitoraggio dei social network e forum come strumento per individuare attività sospette.

Attività Pratica:

Simulazione di ricerca OSINT: I partecipanti devono analizzare la dark web (utilizzando strumenti sicuri come Tor) per identificare indizi relativi a una rete criminale, come mercati illegali, comunicazioni criptate, transazioni illecite.

Creare un rapporto su come le informazioni raccolte potrebbero portare all’individuazione di membri di una rete criminale.

Strumenti pratici:

Tor, I2P, Tails per l’accesso sicuro alla dark web.

Maltego (per l’analisi delle relazioni tra entità online).

Shodan (per l’esplorazione di dispositivi connessi a Internet).

18. Simulazione di un attacco e difesa in un ambiente sicuro

Obiettivo: Fornire ai partecipanti esperienza pratica nella gestione di un incidente di sicurezza cyber in tempo reale, sia dal punto di vista dell’attaccante che del difensore.

Contenuti Teorici:

Le fasi di un attacco informatico: ricognizione, exploit, accesso, persistenza, esfiltrazione.

Le tecniche di difesa: monitoraggio delle reti, sistemi di rilevamento delle intrusioni (IDS/IPS), firewall, antivirus.

L’importanza delle contromisure: patching, gestione delle vulnerabilità, segmentazione della rete.

L’analisi post-attacco: come raccogliere prove, identificare la causa e fermare un attacco in corso.

Attività Pratica:

Simulazione di un attacco a una rete aziendale: In questo scenario, i partecipanti possono essere divisi in due gruppi: uno attacca e l’altro difende.

Gli attaccanti potrebbero tentare un attacco di phishing, un’iniezione SQL o sfruttare una vulnerabilità zero-day.

Il gruppo difensivo deve rilevare e fermare l’attacco, utilizzando IDS/IPS, firewall e altre misure di sicurezza.

Dopo l’incidente: I difensori dovranno analizzare i log e creare una reportistica sull’attacco subito, includendo l’analisi forense delle prove e suggerendo miglioramenti alla sicurezza.

Strumenti pratici:

Kali Linux (per l’attacco).

Metasploit (framework per test di penetrazione).

Snort, Suricata (IDS/IPS).

Wireshark per l’analisi dei pacchetti.

19. Workshop interattivo sulla gestione di un incidente di sicurezza cyber

Obiettivo: Approfondire il processo di risposta a un incidente, con un focus sulle operazioni post-incidente, la gestione della crisi e la comunicazione.

Contenuti Teorici:

La gestione di un incidente di sicurezza: definizione del “incidente”, risposta immediata e valutazione dei danni.

Processi e procedure in una risposta all’incidente (IRP – Incident Response Plan).

Comunicazione e cooperazione con le autorità, i clienti e il pubblico (la gestione della crisi).

Analisi delle vulnerabilità e prevenzione di futuri attacchi.

Attività Pratica:

Workshop pratico di risposta a un incidente: I partecipanti devono seguire un piano di risposta a un incidente cyber, che include il rilevamento, l’isolamento, l’analisi e la risoluzione dell’incidente.

Ogni gruppo avrà un ruolo specifico (team tecnico, team di gestione, team legale e di comunicazione).

Simulazione di una violazione di dati e come rispondere legalmente ed eticamente.

Strumenti pratici:

Software di gestione degli incidenti come TheHive, RTIR (per gestione delle informazioni sugli incidenti).

Sistemi di monitoraggio delle anomalie in tempo reale (Zabbix, Nagios).

20. Esercitazione finale: Indagine complessa su un crimine informatico

Obiettivo: Mettere insieme tutto ciò che i partecipanti hanno appreso nei moduli precedenti, con un’analisi approfondita di un caso complesso che coinvolge diverse tecniche investigative.

Contenuti Teorici:

Integrare tutte le tecniche acquisite: spionaggio, analisi OSINT, crimine informatico, gestione degli incidenti.

Costruire un caso completo: analizzare prove digitali, fare inferenze su base di dati raccolti, utilizzare il diritto internazionale.

La scrittura di un rapporto investigativo e la preparazione alla testimonianza in tribunale.

Attività Pratica:

Caso pratico: Fornisci ai partecipanti un caso complesso che coinvolge crimine informatico, come un attacco a una rete aziendale per rubare dati sensibili o il riciclaggio di denaro tramite criptovalute.

I partecipanti devono condurre l’intera indagine, raccogliendo prove, analizzando dati e costruendo una narrazione coerente.

Alla fine del modulo, ogni gruppo presenterà i risultati dell’indagine, il piano di difesa e le azioni legali consigliate.

Strumenti pratici:

Tutti gli strumenti utilizzati nei moduli precedenti: software forensi, strumenti OSINT, piattaforme di analisi dei dati.

Scrittura di rapporti utilizzando strumenti professionali come Microsoft Word o LaTeX per la redazione di documenti investigativi.