riptovaluteeantiriciclaggio … · 2020. 10. 23. · trasmessa dal client alla rete, inserita nella...
TRANSCRIPT
-
CRIPTOVALUTE E ANTIRICICLAGGIO, ASPETTI TECNICI E INVESTIGATIVIDETERMINANTI PER IL TRACCIAMENTO E L’ANALISI DELLE TRANSAZIONI
WEBINAR IN MATERIA DI ANTIRICICLAGGIO
22 ottobre 2020
Zoom Video Conference
Paolo Dal Checco
Consulente Informatico Forense
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 2
Paolo Dal Checco – [email protected]
Chi sono
q PhD @UniTO nel gruppo di Sicurezza delle Reti e degli Elaboratori
q Passato di R&D su crittografia e sicurezza delle comunicazioni
q Consulente Informatico Forense, Perizie Informatiche per Privati, Aziende, Avvocati, Procure, Tribunali, F.F.O.O.
q Albo CTU e Periti del Tribunale di Torino, Periti ed Esperti CCIAA TO
q Piccole Docenze a Contratto @UniTO e @UniMI
q Tra i fondatori dell’Associazione ONIF (www.onif.it)
q Socio IISFA, Tech & Law, Clusit, Assob.It, AIP
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 3
Paolo Dal Checco – [email protected]
Un ripasso veloce
• La maggior parte delle notizie ed informazioni su Bitcoin e criptovalute si basano su errate percezioni, bufale, leggende metropolitane e scarsa comprensione dello strumento.
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 4
Paolo Dal Checco – [email protected]
Un ripasso veloce
• Chiave privata: 256 bit, il codice da cui viene generato l’indirizzo, passando tramite la chiave pubblica generata da quella privata. Posso dimostrare di averla firmando un messaggio.
• Chiave pubblica: 512 bit, derivata dalla chiave privata tramite algoritmo a chiave pubblica/privata ECDSA a Curve Ellittiche. Posso verificare un messaggio firmato con chiave privata.
• Indirizzi/address bitcoin: 160 bit, 27-34 caratteri alfanumerici eccetto alcuni. Gli indirizzi vengono derivati dalle chiavi pubbliche dell’utente, derivate dalle chiavi private.
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 5
Paolo Dal Checco – [email protected]
Un ripasso veloce
• Transazione: passaggio irreversibile di una certa quantità di bitcoin da un indirizzo all’altro, che viene trasmessa dal client alla rete, inserita nella blockchain e diventa pubblica
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 6
Paolo Dal Checco – [email protected]
Un ripasso veloce
• Blockchain: il libro mastro delle transazioni, pubblico, condiviso, decentralizzato, viene composto autonomamente in base al concetto di “proof of work”
• Wallet: Il portafoglio che raccoglie i diversi indirizzi/address bitcoin, più facile da gestire rispetto a lavorare direttamente con gli indirizzi. In genere protetto da password. Può essere gerarchico deterministico.
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 7
Paolo Dal Checco – [email protected]
Quando non si ha nulla da nascondere
• La blockchain è «trasparente», mantiene i legami tra le transazioni• Si riesce a fare aggregazione (clustering) degli indirizzi• Gli utenti non si nascondono dietro indirizzi IP anonimi (VPN, Tor, etc…)• Le transazioni non avvengono tramite mixer/tumble• Gli utenti mantengono gli stessi wallet
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 8
Paolo Dal Checco – [email protected]
Quando si vogliono nascondere le tracce
• Le transazioni sono slegate tra di loro• Non è possibile aggregare indirizzi e ricostruire wallet• Gli indirizzi IP utilizzati dagli utenti sono anonimi• Vengono utilizzati sistemi di anonimizzazione come mixer/tumbler• bitcoinmix.org
• Vengono utilizzati wallet che mixano i bitcoin• Samourai Wallet con Whirpool• Wasabi Wallet
• Gli utenti cambiano continuamente indirizzi e wallet
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 9
Paolo Dal Checco – [email protected]
Come vengono “ripuliti” i bitcoin
• Tumblers/Mixers via web anche su Tor con Onionaddress• Attenzione che non tutti i tumbler funzionano• Attenzione che non si sa chi ci sia dietro i tumbler
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 10
Paolo Dal Checco – [email protected]
Come vengono “ripuliti” i bitcoin
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 11
Paolo Dal Checco – [email protected]
Come vengono “ripuliti” i bitcoin
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 12
Paolo Dal Checco – [email protected]
Come venivano “ripuliti” i bitcoin in origine
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 13
Paolo Dal Checco – [email protected]
Le transazioni sono comunque complesse
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 14
Paolo Dal Checco – [email protected]
Bitcoin Forensics
• Sottoinsieme della Digital Forensics• Deriva dalla Computer, Network,
Mobile, Video, Audio, etc… Forensics• Applicazione delle best practices e
workflow di digital forenscis alle indagini sulle criptomonete.• Elementi tradizionali e “locali” (es. analisi
di un PC su cui è stato installato un wallet)• Elementi innovativi (intelligence su
transazioni presenti nella blockchain)
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 15
Paolo Dal Checco – [email protected]
Bitcoin Forensics
15
• Blockchain: la prova è pubblica, immutabile, già “forense”
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 16
Paolo Dal Checco – [email protected]
Bitcoin Forensics
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 17
Paolo Dal Checco – [email protected]
Bitcoin Forensics
• Per indicizzare tutte le transazioni (non soltanto quelle nel proprio wallet) è necessario impostare txindex=1 nel config
• Si può così interrogare la blockchain per qualsiasi TX
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 18
Paolo Dal Checco – [email protected]
• E dalla raw transaction, ottenere la versione “in chiaro”
• Inclusi dati eventualmente contenuti all’interno
• Che convertiti da hex ad ascii potrebbero avere un significato
Bitcoin Forensics
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 19
Paolo Dal Checco – [email protected]
Strumenti online: blockchain explorer
• Servono per “vedere” la blockchain.• Comodi e pieni di funzionalità, ma informano il gestore circa le nostre
ricerche• blockexplorer.com, blockchain.info, blockr.io, chain.so• Blockchair.com, oxt.me• Blocchi (anche quelli temporaneamente doppi)• Transazioni (spese e non spese)• Statistiche su blocchi e tx (prima comparsa di un ADDR, saldo, etc…)• Tag
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 20
Paolo Dal Checco – [email protected]
Strumenti Online: block explorer
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 21
Paolo Dal Checco – [email protected]
Strumenti Online: block explorer
oxt.me
(prova pratica: 17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt)
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 22
Paolo Dal Checco – [email protected]
Strumenti Online: block explorer
oxt.me
blockchair.com
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 23
Paolo Dal Checco – [email protected]
Strumenti off/online: Maltego
• https://github.com/bostonlink/bitcoin-explorer (@bostonlink)
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 24
Paolo Dal Checco – [email protected]
Strumenti offline: blockchain explorer
• Scomodo usare Bitcon-Core o i Wallet locali• Full local Block Explorer / Stats:• Insight: https://github.com/bitpay/insight• Demo: https://insight.bitpay.com/• BTCpLex: https://github.com/tsileo/btcplex• Bitcoin-ABE: https://github.com/bitcoin-abe/bitcoin-abe• Satoshi.info: https://jlopp.github.io/statoshi/• Strumenti ancora in evoluzione, non completi delle
funzionalità dei block explorer online
https://github.com/bitcoin-abe/bitcoin-abe
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 25
Paolo Dal Checco – [email protected]
Strumenti offline: bitcoin tool e plugin
• BX libBitcoin Explorer (ex SX Tools)• github.com/libbitcoin/libbitcoin-explorer• Bitcoin-Tools• github.com/gavinandresen/bitcointools• Bitcoin Sneak Peak• Chrome Extension
25
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 36
Paolo Dal Checco – [email protected]
Strumenti offline: bit-cluster
• Anche locale• Ottimo per
clusterizzare e identificare alcuni wallet tramite tag
36
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 37
Paolo Dal Checco – [email protected]
Strumenti commerciali
• Neutrino PFlow (neutrino.nu)• Elliptic (elliptic.co)• Chainalyis (chainalysis.com)• Blockseer (blockseer.com)• Scorechain (scorechain.com)• Skry (skry.tech)• Blockchaingroup (blockchaingroup.io)• Sabr (sabr.io)
37
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 38
Paolo Dal Checco – [email protected]
Bitcoin forensics e disk drive
• Magnet Forensics (indirizzi, chiavi, transazioni, wallet, etc…)• http://www.magnetforensics.com• KeyHunter (chiavi private)• https://github.com/pierce403/keyhunter• BTScan (indirizzi, chiavi private, chiavi pubbliche)• https://gist.github.com/chriswcohen/7e28c95ba7354a986c34/download• BTC Recover (brute force di wallet)• github.com/gurnec/btcrecover• Bruteforce Wallet (brute force di wallet)• https://github.com/glv2/bruteforce-wallet• Bulk Extractor(con custom regex)• https://github.com/simsong/bulk_extractor
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 39
Paolo Dal Checco – [email protected]
Bitcoin forensics e RAM memory
• FTK Imager (per acquisizione RAM)• http://accessdata.com/product-download• MonSools MemDump (per acquisizione RAM)• http://www.foo.be/cours/dess-20122013/memdump/• Rekall (per analisi RAM)• http://www.rekall-forensic.com• Grep/Strings (per analisi RAM)• Volatility? (per analisi RAM)
-
22 ottobre 2020
Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 62
Paolo Dal Checco – [email protected]
Grazie per l’attenzione!
Paolo Dal [email protected]
@forensicowww.dalchecco.it. www.bitcoinforensics.it
www.ransomware.it
http://www.dalchecco.it/http://www.bitcoinforensics.i/http://www.ransomware.it/