Di seguito tutti gli interventi pubblicati sul sito, in ordine cronologico.
Come si misura la competenza?
Negli ultimi tempi si è dibattuto parecchio su quello che serve per poter parlare, insegnare o operare nella computer forensics e a mio vedere sono uscite varie realtà:
A) I MEGALOMANI: prima solo di pronunciare le parole "computer forensics" devi:
1) Aver fatto un numero vicino al diametro di Giove di CTU e CTP! Scherzi a parte è un numero ed è sempre imprecisato....forse volutamente....se ne hai fatte 5,10, 100 non si sa ...c'è sempre quello che dice che son poche...la qualità di queste CT? Mha!...non conta...per questi della categoria A, contano solo le "misure" (potremmo ribattezzarli i pornodivi).  2) Devi aver dibattuto in tribunale, sempre per un numero di volte imprecisato, contro gli avvocati più temibili del pianeta, quelli clonati dalle cellule di Bill Gates e Linus Torvald, con un'iniezione di DNA di Perry Mason ed un pò di DNA di cane lupo, insomma figure mitologiche o estremamente rare. 3) Devi aver fatto anni ed anni (sempre per un numero imprecisato) di apprendistato con i grandissimi (grandi è troppo poco) della CF, in pratica quei 4 gatti più famosi, che dovrebbero aprirsi un residence per ospitare tutti i loro apprendisti....ah certo se fai affiancamento ad uno NON conosciuto dai MEGALOMANI, non hai fatto niente....perchè anche chi lavora da anni nel settore non è nessuno se non è "riconosciuto" da uno di loro.... Continua a leggere...
Grazie all’Università LU S. PIO V ed al paziente lavoro di Nanni Bassetti, sono disponibili i filmati (320×200) degli interventi tenuti per il convegno di CFItaly dello scorso 18 giugno: http://www.cfitaly.net/filmati
Il convegno è stato bello lungo dalle 9.30 a quasi le 15:30, gli argomenti sono stati molto i nteressanti e tecnici, anche nello specifico....
Per non parlare della parte legale curata da Francesco Paolo Micozzi e Giovanni Battista Gallus, che sono
riuscito a seguire poco (causa aereo), ma sapevo di cosa avrebbero parlato,
un grande Giancarlo Cucinotta, che ci ha fatto vedere delle slides fenomenali su
analisi sui microprocessori, addirittura forensics sui trasponder delle
chiavi delle automobili, ecc. ecc. SPETTACOLO!
Gianni Amato è stato tartassato dalle domande del pubblico....
Un grande Mario Pascucci con uno "nascondino dei bit" intrigante  ))
Infine me e Denis Frati che abbiamo parlato di CFI e B.P.
A breve avremo le slides in linea e ,non so quando, anche il filmato che la
LUSPIO ha fatto ....
In ogni caso è un passo importante nella storia di questo gruppo e speriamo
serva a farne altri...in tante città...perchè detto tra noi....MINKIA CHE
SFACCHINATA!!!!
DDDDD
GRANDE TEAM!
ciao (scusate l'adrenalina) ;)
Ecco il report completo: http://www.cfitaly.net/convegno_cfi_luspio_20080618_svolgimento
Vi annuncio in anteprima il convegno che
si terrà a Roma il 18-giugno-2008 presso l'Università S. Pio V di Roma
http://www.cfitaly.net/convegno2008
L'evento sarà accessibile previa registrazione, dato che l'aula magna può
ospitare al max 160 persone, quanto prima vi indicheremo il link sul sito
dell'università, per registrarsi.
Augurateci IN BOCCA AL LUPO ;)
Grazie a tutti
Molti di voi sapranno cos'è Foremost, il più famoso "carver" nell'ambito del recupero dati e della computer forensics, ma per chi non lo sapesse:Foremost è un programma da console per recuperare i file in base alle loro intestazioni, footers, e le strutture dati interne.
Questo processo viene comunemente denominato data carving.Foremost è in grado di lavorare su file immagine (bitstream), come quelli generati dai dd, Safeback, Encase, ecc, o direttamente sul dispositivo.Gli headers ed i footers possono essere specificati da un file di configurazione o è possibile utilizzare parametri della riga di comando per specificare i tipi di file built-in.
Originariamente sviluppato da parte degli US Air Force Office of Special Investigations e dal The Center for Information Systems Security Studies and Research, attualmente Foremost è Open Source ed è mantenuto da Jesse Kornblum, Kris Kendall, and Nick Mikus.
Quando questo fantastico programmino viene lanciato, crea nella directory di output un file "audit.txt" ed una serie di sottocartelle nominate col tipo di file ricercato (es. jpg, doc, tiff, ecc.).
All'interno di queste cartelle ci sono i files "carvati", ossia estratti in base al loro "magic number" presente negli headers e nei footers, questi files sono quelli attivi, quelli cancellati e anche quelli non-allocati.Dato che Foremost agisce sulla parte dati del dispositivo da analizzare e non considera il File System,(ecco perchè si può usare per recuperare i dati dai supporti formattati), i files trovati non avranno il nome, ma saranno nominati con l'indirizzo del settore sul quale sono allocati, che moltiplicato per l'offset dà l'indirizzo assoluto sul dispositivo, sia i nomi dei files sia i loro offset sono scritti nel file AUDIT.TXT.Ecco un esempio:
Foremost version 1.5.2 by Jesse Kornblum, Kris Kendall, and Nick MikusAudit FileForemost started at Fri Mar 28 11:59:15 2008
Invocation: foremost usb.ddOutput directory: /home/nemo/immagini_dd/outputConfiguration file:
/usr/local/etc/foremost.conf
------------------------------------------------------------------
File: usb.ddStart: Fri Mar 28 11:59:15 2008
Length: 962 MB (1009254400 bytes)
Num Name (bs=512)
Size File Offset Comment0:
0: 00000611.jpg 11 KB 312832
1: 00000643.jpg 8 KB 329216
2: 00000675.jpg 3 KB 345600
3: 00000707.jpg 9 KB 361984
4: 00000739.jpg 8 KB 378768
-------------------------------------------------
il nome rappresenta il settore in cui si trova il file.esempio per il primo filenome_file=611 >> il settore in cui si trova, il cui offset è 611*512=312832dove 512 bytes è la misura minima del settore.
L'offset ci indica l'indirizzo assoluto in bytes sul disco, quindi 611 settori sono equivalenti a 312832 bytes.
nemo@nexus:~/immagini_dd$ xxd -s 312832 -l 512 usb.dd
004c600: ffd8 ffe0 0010 4a46 4946 0001 0100 0001 ......JFIF......
004c610: 0001 0000 ffdb 0043 0005 0304 0404 0305 .......C........
004c620: 0404 0405 0505 0607 0c08 0707 0707 0f0b ................
004c630: 0b09 0c11 0f12 1211 0f11 1113 161c 1713 ................
004c640: 141a 1511 1118 2118 1a1d 1d1f 1f1f 1317 ......!.........
004c650: 2224 221e 241c 1e1f 1eff db00 4301 0505 "$".$.......C...
004c660: 0507 0607 0e08 080e 1e14 1114 1e1e 1e1e ................
Da un'analisi di Andrea Ghirardini è emerso, che per supporti di grandi dimensioni Foremost non riesce a scrivere il numero del settore corretto.
Quando Andrea ne parlò sospettammo subito in una limitazione di qualche variabile, notando che tutti i files carvati avevano il nome composto sempre di 8 + 3 caratteri (nome+estensione), ed infatti dopo molti giorni di passione, i curatori di Foremost risposero ad Andrea, confermando il fatto che se il nome del file non può superare gli otto caratteri, il bug è causato da un integer overflow che comporta un errato calcolo.
Ieri è nata la Mailing List CFI - Computer Forensics Italy
un nuovo spazio virtuale creato da me e da Denis Frati, al fine di realizzare un luogo virtuale dove poter scambiare idee, consigli e sopratutto fare domande di ogni genere, con un taglio pratico e realistico....per crescere insieme.
La CFI si prefigge lo scopo di riunire tutti i computer forensers italiani, interessati al dialogo sulle situazioni "reali" dello stato dell'arte della computer forensics italiana.
Lo spazio è aperto a tutti e tutti saranno considerati alla pari ed ogni punto di vista sarà rispettato.
Insieme si può fare tanto, dai gruppi cooperativi online sono nate tante cose, ricordiamo Linux, ma anche il nostro più recente Selective File Dumper (SFDumper), realizzato dalla cooperazione remota tra me e Denis.
Su questo spirtio vogliamo che si sviluppi CFI.....
Sito web: http://www.cfitaly.net/
Chiunque sia interessato ad iscriversi:
http://groups.google.it/group/cfitaly/subscribe?hl=it¬e=1
Grazie
Il sottoscritto, insieme a Denis Frati, ha sviluppato un tool che faciliterà la ricerca dei files per tipologia o meglio per estensione (es. .doc o .jpg).
Infatti per cercare tutti i files di un certo tipo e poi salvarli diventa abbastanza complicato o manuale.
Grazie allo Sleuthkit ed Autopsy si possono cercare i files con una certa estensione, nel file system, ma poi bisogna esportarli manualmente nella cartella REPERTI, stesso dicasi per i files cancellati ed infine col FOREMOST si effettua un carving, con conseguente duplicazione tra i files “carvati”, di quelli già estratti in precedenza (attivi e cancellati), infine si potrebbe effettuare una ricerca per stringhe/keywords sul set di files che si sono salvati usando Sleuthkit e foremost.
Tutte queste operazioni portano via moltissimo tempo e vanno fatte manualmente.
Ecco che abbiamo pensato a scrivere questo bash script SFDUMPER.SH che fa tutte le operazioni su descritte automaticamente ed inoltre elimina i file carvati doppioni dei files cancellati e attivi estratti con lo Sleuthkit.
Lo script è interattivo, lavora sulla partizione che chiede di scegliere, partendo da un file immagine o direttamente dal dispositivo (es. /dev/sdb).
Download ed informazioni su:
http://sfdumper.sourceforge.net
ANCORA UN’INDAGINE FORENSE
Che fare quando nel 2008 ti chiamano per un’indagine informatica?
La prima cosa che ti domandi è:
“Ma cosa dovrò acquisire? Come dovrò attrezzarmi?”
Chiaramente sono domande paragonabili agli interrogativi filosofici sui massimi sistemi ed in genere ricevono risposte onomatopeiche a suoni tipo “Bho?”.
Però questa volta c’è una novità, ti invitano a presenziare al sequestro, al fine di effettuare, professionalmente, il prelievo dei supporti informatici presenti. ... Continua a leggere...
Ciao a tutti ...vi segnalo il mio nuovo nato:
INDAGINI DIGITALI
Questo è un vademecum, un prontuario, sulle procedure e le casistiche, che possono accadere durante un'indagine informatica. Non è il solito libro di computer o digital forensics per tutti, ma è rivolto agli operatori del settore, ai formatori, come insieme di linee guida e procedure da seguire durante l'individuazione, l'acquisizione, l'analisi ed il reporting.
Un manuale per diventare degli Sherlock Holmes digitali!
http://www.lulu.com/content/1356430
|
|
Ci sono 23 persone collegate
|
<
|
aprile 2024
|
>
|
L |
M |
M |
G |
V |
S |
D |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
21 |
22 |
23 |
24 |
25 |
26 |
27 |
28 |
29 |
30 |
|
|
|
|
|
| |
|
|
|
|
|
|
|
(p)Link
Storico
Stampa
Feed RSS 0.91
Feed Atom 0.3