CRIPTOVALUTE E ANTIRICICLAGGIO, ASPETTI TECNICI E INVESTIGATIVIDETERMINANTI PER IL TRACCIAMENTO E L’ANALISI DELLE TRANSAZIONI

WEBINAR IN MATERIA DI ANTIRICICLAGGIO

22 ottobre 2020

Zoom Video Conference

Paolo Dal Checco

Consulente Informatico Forense

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 2

Paolo Dal Checco – paolo@dalchecco.it

Chi sono

q PhD @UniTO nel gruppo di Sicurezza delle Reti e degli Elaboratori

q Passato di R&D su crittografia e sicurezza delle comunicazioni

q Consulente Informatico Forense, Perizie Informatiche per Privati, Aziende, Avvocati, Procure, Tribunali, F.F.O.O.

q Albo CTU e Periti del Tribunale di Torino, Periti ed Esperti CCIAA TO

q Piccole Docenze a Contratto @UniTO e @UniMI

q Tra i fondatori dell’Associazione ONIF (www.onif.it)

q Socio IISFA, Tech & Law, Clusit, Assob.It, AIP

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 3

Paolo Dal Checco – paolo@dalchecco.it

Un ripasso veloce

• La maggior parte delle notizie ed informazioni su Bitcoin e criptovalute si basano su errate percezioni, bufale, leggende metropolitane e scarsa comprensione dello strumento.

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 4

Paolo Dal Checco – paolo@dalchecco.it

Un ripasso veloce

• Chiave privata: 256 bit, il codice da cui viene generato l’indirizzo, passando tramite la chiave pubblica generata da quella privata. Posso dimostrare di averla firmando un messaggio.

• Chiave pubblica: 512 bit, derivata dalla chiave privata tramite algoritmo a chiave pubblica/privata ECDSA a Curve Ellittiche. Posso verificare un messaggio firmato con chiave privata.

• Indirizzi/address bitcoin: 160 bit, 27-34 caratteri alfanumerici eccetto alcuni. Gli indirizzi vengono derivati dalle chiavi pubbliche dell’utente, derivate dalle chiavi private.

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 5

Paolo Dal Checco – paolo@dalchecco.it

Un ripasso veloce

• Transazione: passaggio irreversibile di una certa quantità di bitcoin da un indirizzo all’altro, che viene trasmessa dal client alla rete, inserita nella blockchain e diventa pubblica

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 6

Paolo Dal Checco – paolo@dalchecco.it

Un ripasso veloce

• Blockchain: il libro mastro delle transazioni, pubblico, condiviso, decentralizzato, viene composto autonomamente in base al concetto di “proof of work”

• Wallet: Il portafoglio che raccoglie i diversi indirizzi/address bitcoin, più facile da gestire rispetto a lavorare direttamente con gli indirizzi. In genere protetto da password. Può essere gerarchico deterministico.

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 7

Paolo Dal Checco – paolo@dalchecco.it

Quando non si ha nulla da nascondere

• La blockchain è «trasparente», mantiene i legami tra le transazioni• Si riesce a fare aggregazione (clustering) degli indirizzi• Gli utenti non si nascondono dietro indirizzi IP anonimi (VPN, Tor, etc…)• Le transazioni non avvengono tramite mixer/tumble• Gli utenti mantengono gli stessi wallet

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 8

Paolo Dal Checco – paolo@dalchecco.it

Quando si vogliono nascondere le tracce

• Le transazioni sono slegate tra di loro• Non è possibile aggregare indirizzi e ricostruire wallet• Gli indirizzi IP utilizzati dagli utenti sono anonimi• Vengono utilizzati sistemi di anonimizzazione come mixer/tumbler• bitcoinmix.org

• Vengono utilizzati wallet che mixano i bitcoin• Samourai Wallet con Whirpool• Wasabi Wallet

• Gli utenti cambiano continuamente indirizzi e wallet

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 9

Paolo Dal Checco – paolo@dalchecco.it

Come vengono “ripuliti” i bitcoin

• Tumblers/Mixers via web anche su Tor con Onionaddress• Attenzione che non tutti i tumbler funzionano• Attenzione che non si sa chi ci sia dietro i tumbler

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 10

Paolo Dal Checco – paolo@dalchecco.it

Come vengono “ripuliti” i bitcoin

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 11

Paolo Dal Checco – paolo@dalchecco.it

Come vengono “ripuliti” i bitcoin

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 12

Paolo Dal Checco – paolo@dalchecco.it

Come venivano “ripuliti” i bitcoin in origine

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 13

Paolo Dal Checco – paolo@dalchecco.it

Le transazioni sono comunque complesse

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 14

Paolo Dal Checco – paolo@dalchecco.it

Bitcoin Forensics

• Sottoinsieme della Digital Forensics• Deriva dalla Computer, Network,

Mobile, Video, Audio, etc… Forensics• Applicazione delle best practices e

workflow di digital forenscis alle indagini sulle criptomonete.• Elementi tradizionali e “locali” (es. analisi

di un PC su cui è stato installato un wallet)• Elementi innovativi (intelligence su

transazioni presenti nella blockchain)

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 15

Paolo Dal Checco – paolo@dalchecco.it

Bitcoin Forensics

15

• Blockchain: la prova è pubblica, immutabile, già “forense”

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 16

Paolo Dal Checco – paolo@dalchecco.it

Bitcoin Forensics

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 17

Paolo Dal Checco – paolo@dalchecco.it

Bitcoin Forensics

• Per indicizzare tutte le transazioni (non soltanto quelle nel proprio wallet) è necessario impostare txindex=1 nel config

• Si può così interrogare la blockchain per qualsiasi TX

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 18

Paolo Dal Checco – paolo@dalchecco.it

• E dalla raw transaction, ottenere la versione “in chiaro”

• Inclusi dati eventualmente contenuti all’interno

• Che convertiti da hex ad ascii potrebbero avere un significato

Bitcoin Forensics

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 19

Paolo Dal Checco – paolo@dalchecco.it

Strumenti online: blockchain explorer

• Servono per “vedere” la blockchain.• Comodi e pieni di funzionalità, ma informano il gestore circa le nostre

ricerche• blockexplorer.com, blockchain.info, blockr.io, chain.so• Blockchair.com, oxt.me• Blocchi (anche quelli temporaneamente doppi)• Transazioni (spese e non spese)• Statistiche su blocchi e tx (prima comparsa di un ADDR, saldo, etc…)• Tag

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 20

Paolo Dal Checco – paolo@dalchecco.it

Strumenti Online: block explorer

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 21

Paolo Dal Checco – paolo@dalchecco.it

Strumenti Online: block explorer

oxt.me

(prova pratica: 17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt)

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 22

Paolo Dal Checco – paolo@dalchecco.it

Strumenti Online: block explorer

oxt.me

blockchair.com

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 23

Paolo Dal Checco – paolo@dalchecco.it

Strumenti off/online: Maltego

• https://github.com/bostonlink/bitcoin-explorer (@bostonlink)

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 24

Paolo Dal Checco – paolo@dalchecco.it

Strumenti offline: blockchain explorer

• Scomodo usare Bitcon-Core o i Wallet locali• Full local Block Explorer / Stats:• Insight: https://github.com/bitpay/insight• Demo: https://insight.bitpay.com/• BTCpLex: https://github.com/tsileo/btcplex• Bitcoin-ABE: https://github.com/bitcoin-abe/bitcoin-abe• Satoshi.info: https://jlopp.github.io/statoshi/• Strumenti ancora in evoluzione, non completi delle

funzionalità dei block explorer online

https://github.com/bitcoin-abe/bitcoin-abe

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 25

Paolo Dal Checco – paolo@dalchecco.it

Strumenti offline: bitcoin tool e plugin

• BX libBitcoin Explorer (ex SX Tools)• github.com/libbitcoin/libbitcoin-explorer• Bitcoin-Tools• github.com/gavinandresen/bitcointools• Bitcoin Sneak Peak• Chrome Extension

25

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 36

Paolo Dal Checco – paolo@dalchecco.it

Strumenti offline: bit-cluster

• Anche locale• Ottimo per

clusterizzare e identificare alcuni wallet tramite tag

36

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 37

Paolo Dal Checco – paolo@dalchecco.it

Strumenti commerciali

• Neutrino PFlow (neutrino.nu)• Elliptic (elliptic.co)• Chainalyis (chainalysis.com)• Blockseer (blockseer.com)• Scorechain (scorechain.com)• Skry (skry.tech)• Blockchaingroup (blockchaingroup.io)• Sabr (sabr.io)

37

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 38

Paolo Dal Checco – paolo@dalchecco.it

Bitcoin forensics e disk drive

• Magnet Forensics (indirizzi, chiavi, transazioni, wallet, etc…)• http://www.magnetforensics.com• KeyHunter (chiavi private)• https://github.com/pierce403/keyhunter• BTScan (indirizzi, chiavi private, chiavi pubbliche)• https://gist.github.com/chriswcohen/7e28c95ba7354a986c34/download• BTC Recover (brute force di wallet)• github.com/gurnec/btcrecover• Bruteforce Wallet (brute force di wallet)• https://github.com/glv2/bruteforce-wallet• Bulk Extractor(con custom regex)• https://github.com/simsong/bulk_extractor

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 39

Paolo Dal Checco – paolo@dalchecco.it

Bitcoin forensics e RAM memory

• FTK Imager (per acquisizione RAM)• http://accessdata.com/product-download• MonSools MemDump (per acquisizione RAM)• http://www.foo.be/cours/dess-20122013/memdump/• Rekall (per analisi RAM)• http://www.rekall-forensic.com• Grep/Strings (per analisi RAM)• Volatility? (per analisi RAM)

22 ottobre 2020

Criptovalute e antiriciclaggio, aspetti tecnici e investigativi determinanti per il tracciamento e l’analisi delle transazioni 62

Paolo Dal Checco – paolo@dalchecco.it

Grazie per l’attenzione!

Paolo Dal Checcopaolo@dalchecco.it

@forensicowww.dalchecco.it. www.bitcoinforensics.it

www.ransomware.it

http://www.dalchecco.it/http://www.bitcoinforensics.i/http://www.ransomware.it/