Giovanni Bassetti Immagine
 Blog di Giovanni Bassetti... di Admin
 
"
Un computer sicuro è un computer spento e gettato in fondo al mare, con l'hard disk sbriciolato

N.B.
"
 

Di seguito tutti gli interventi pubblicati sul sito, in ordine cronologico.
 
 
Di Admin (del 24/04/2006 @ 19:14:54, in Computer Forensics, linkato 10854 volte)

La scienza forense applicata all'informatica è ancora una materia giovane ed in via di sviluppo,
ma specialmente al costante inseguimento della tecnologia.
Infatti i computer crescono di numero e di capacità, gli hard disk sono sempre più grandi e le memorie
si sprecano in vari dispositivi, dai cari floppy disk ai DVD, alle USB Flash Memory, alle memory card,
ai cellulari ecc. ecc.
L'autorità Giudiziaria, spesso non riesce a star dietro a tutto questo ed inoltre non sa come comportarsi
di fronte a dei dati così facilmente alterabili e, a volte, deperibili, quindi è compito degli investigatori
del futuro adottare un protocollo comune di repertaggio, custodia ed analisi dei dati.
La scelta comune degli strumenti di repertaggio è caduta sull'Open Source Software, ossia tutti quei programmi
il cui codice è disponibile al pubblico, in modo tale da non poter sollevare il "ragionevole dubbio", che il programma
di acquisizione o analisi faccia cose strane, non dimentichiamo che il magistrato non è un informatico e quindi
potrebbe accettare l'ipotesi che alcune prove digitali siano adulterate da software di cui non si sa il codice
sorgente, così da invalidare tutta l'indagine.

Fase 1 - L'acquisizione

Prima di acquisire dei dati da un hard disk imputato, bisogna fugare ogni dubbio, che l'investigatore
abbia potuto adulterarlo, ecco che si deve bloccarlo in scrittura.
Per far questo si possono usare dei meccanismi hardware, i cosiddetti "write blocker", che sono anche un tantinello
costosi, oppure far partire il computer sequestrato da una distribuzione Live di Linux costruita per la Forensics and Incident Response, che "montano" gli hard disk del computer in sola lettura.
Le distribuzioni più famose sono: Helix, F.I.R.E. e IrItaly Live CD.
In questo caso useremo Helix Ver. 1.7 (07/03/2006)
Ore 10:00
Si sballa il computer sequestrato e si apre il case.
Stacchiamo l'alimentazione elettrica dall'hard disk
Accendiamo il computer e capiamo come si entra nel BIOS.
Controlliamo che come è regolato l'orologio del BIOS e la sequenza di Boot.
Impostiamo il boot da Cd-Rom.
Spegniamo il computer e riavviamo, sempre l'hard disk staccato, così testiamo che il boot da cd funzioni bene.
Dopo aver verificato che parte il cd, spegniamo il computer, attacchiamo l'hard disk esterno USB, che ci servirà per conservare la nostra copia dell'hard disk originale, e riavviamo (con un ditino sul tasto power...non si sa mai)
Dobbiamo EVITARE assolutamente che il computer parta dall'hard disk, perchè potrebbe scrivere qualcosa (file di swap, ecc.)
e cancellare/adulterare il contenuto del disco da analizzare.

Ore 10:30

Siamo nel sistema Helix, un ambiente grafico a finestre che ci mette a disposizione vari strumenti di acquisizione ed analisi,
come il celeberrimo Autopsy, l'Adepto, il foremost e PyFlag, visualizzatori di immagini, suoni e video, un'intera suite
di Open Office ecc. ecc.
Subito ci segnamo il numero di serie ed il modello dell'hard disk (hdparm -I /dev/hda oppure lanciando ADEPTO e scegliere l'hd sorgente), poi, prima di iniziare le copie, montiamo in scrittura/lettura l'hard disk esterno:
Lanciamo il Root Terminal e scriviamo mount -o rw /dev/sda1 /media/sda1 + Invio

Adesso è il momento di iniziare l'acquisizione vera e propria...lanciamo Adepto, scriviamo il nome dell'investigatore ed il numero
del caso, poi scegliamo il drive sorgente /dev/hda ed il drive destinazione, stiamo attenti a NON scegliere /dev/sda1 altrimenti effettuerremmo
una clonazione del disco, mentre noi vogliamo un file immagine, più facile da gestire. Infatti il file immagine, image.img, può essere compresso, diviso in pezzi di varia grandezza e l'hd esterno mantiene la sua capacità, mentre in caso di clonazione, l'hd esterno sarà visto della stessa dimensione dell'hd clonato.
Scegliamo il nome del file immagine (es. image.img) e poi nelle opzioni di copia scegliamo l'SDD (che è una versione più veloce del famoso DD
di Linux), infine scegliamo l'hash MD5 per validare digitalmente la copia e confrontarlo con l'hash del disco originale, in modo da fugare
ogni dubbio che la copia non sia uguale, bit per bit, al disco originale.
Ed ora premiamo START, possiamo uscire coi nostri amici inquirenti a farci un luuuungo caffè, perchè la velocità media (con USB 2) di copia è 1Gb al minuto, quindi se l'hard disk da copiare è di 80Gb ci vorranno 80 minuti.

Il caffè è finito!

Siamo tornati dal bar è vediamo che l'Adepto sta effettuando la verifica dell'hash, altri 80 minuti...andiamo al ristorante.

Il pranzo è finito!

Ore circa le 13:30
Finalmente vediamo che l'Adepto ha terminato il suo lavoro, cliccando sulla tab LOG, vediamo un file di log che dice tutto del computer
inquisito (schede istallate, hard disk, ecc.) ed infine le operazioni compiute e il confronto dei due codici hash, originale e copia
che devono coincidere e ...per fortuna coincidono!
Adesso salviamo il file di log di adepto su hd esterno e spegniamo il computer.
Possiamo cominciare a compilare i documenti che sintetizzano cosa abbiamo fatto ed i documenti di "catena di custodia", chi prende
la copia in consegna, chi è il testimone, a che ora viene consegnata e dove sarà ubicata (laboratorio dell'investigatore, ecc.)
Poi alla riconsegna della copia scriveremo cosa ne abbiamo fatto, per esempio, masterizzata su più DVD da consegnare agli inquirenti, che devono avere la copia per uso d'ufficio e per eventualmente fornirla alla difesa.
Prima di passare all'analisi proviamo ad attaccare l'hard disk esterno alla nostra forensics station, che se ha solo Windows Xp e l'hard disk esterno è stato formattato in EXT2 o EXT3 non riusciremo a leggere.
E' utile aver il software Ext2IFS che installa dei drivers in windows, che permettono di leggere gli hard disk formattati in EXT3 o EXT2 come se fossero hard disk NTFS o Fat, così da poter usare tutti gli strumenti di analisi o masterizzazione, che siamo abituati ad usare sotto windows.

Segue la seconda parte intitolata "L'ANALISI"

Nanni Bassetti - Bari
nannib@libero.it

Articolo (p)Link Commenti Commenti (1)  Storico Storico  Stampa Stampa
 
Di Admin (del 21/03/2006 @ 19:25:44, in SICUREZZA INFORMATICA, linkato 23546 volte)

Salve a tutti,
oggi nelle nostre case è possibile creare una rete wi-fi casalinga per avere più computers collegati, senza
stendere fastidiosi cavi che farebbero incavolare le mogli e le madri.
Basta acquistare un router-modem wi-fi e collegarlo alla nostra adsl, poi acquistare delle
chiavette USB wi-fi da attaccare ai computer, se avete i notebook col wi-fi integrato,
chiaramente andremo a risparmiare su quest'ultimo acquisto.
Il più è fatto! Adesso basta usare la ricerca reti wireless di windows xp e agganciarsi al
nostro router, in pochi clicks siamo su internet...che bello!
Ma la sicurezza?
Ricordiamo che stiamo navigando facendo passare i nostri dati via etere,
e che la nostra adsl è raggiungibile via radio, se qualcuno fa del wardriving(cioè gira con un computer portatile
cercando reti wi-fi aperte), si collega alla nostra adsl e poi di lì può cominciare a fare azioni illecite usando la
nostra onesta linea....

Continua a leggere...

Articolo (p)Link Commenti Commenti (16)  Storico Storico  Stampa Stampa
 
Di Admin (del 11/03/2006 @ 17:43:48, in TuttoStorto, linkato 3297 volte)

Salve...mi domando perchè la gente tende a mettersi nei guai da sola...che senso ha per la sinistra inimicarsi tanta gente?
 Ha voglia di vincere le elezioni soffrendo? Studenti ...

Continua a leggere...

Articolo (p)Link Commenti Commenti (2)  Storico Storico  Stampa Stampa
 
Di Admin (del 19/02/2006 @ 20:12:31, in Computer Forensics, linkato 8939 volte)

PREMESSA : QUESTO è un taccuino scritto all'inizi del mio interesse per la COMPUTER FORENSCIS.... però ritengo interessante pubblicarlo lo stesso

Ecco come sarebbe stato se avessi avuto un hard disk da analizzare
Ho cancellato la partizione del mio hard disk esterno, collegato al portatile con cavo usb.
Ho perso tutti i dati, naturalmente, quindi non mi rimaneva che formattare l'hard disk, ma ho pensato di simulare l'acquisizione di un hard disk simile.
Ho subito lanciato il comando:

dd.exe if=\\.\E: of=\\forensics\images\image.dd conv=noerror --md5sum --verifymd5 --md5out=\\forensics\images\image.dd.md5 --log=\\forensics\images\audit.log

così creo ...

Continua a leggere...

Articolo (p)Link Commenti Commenti (0)  Storico Storico  Stampa Stampa
 
Di Admin (del 07/02/2006 @ 14:37:04, in TuttoStorto, linkato 2130 volte)
Le libertà...tutti i partiti politici ne parlano, ma alla fine siamo realmente liberi?
Penso di no...continua la mia carrellata di cose storte ed illiberali che siamo costretti a subire costantemente nella vita.
Un mio amico vuole vendere gioielli su internet, tramite un sito web, niente di male, realizza 10 prototipi di gioielli e poi li fotografa, nel momento in cui arriva un ordine dal sito egli va dall'orefice si fa realizzare il pezzo e poi lo spedisce all'acquirente. ...

Continua a leggere...

Articolo (p)Link Commenti Commenti (0)  Storico Storico  Stampa Stampa
 
Di Admin (del 26/01/2006 @ 17:54:30, in TuttoStorto, linkato 2220 volte)

Il 24/01/2006 alle 11.57 am è nata mia figlia Giulia, bellissima e vivacissima,
è una delle emozioni più grandi e più belle che un uomo possa provare, senti di aver prolungato te stesso
e di aver messo al mondo un'altra persona, che farà e dirà cose e ti aspetti che magari possa pure
dare un contributo notevole all'umanità.
Con i questi pensieri megalomani e con la gioia nel cuore, poi, affronti la grigia ed inutile realtà
del pidocchioso mondo che viviamo attualmente....

Continua a leggere...

Articolo (p)Link Commenti Commenti (5)  Storico Storico  Stampa Stampa
 
Di Admin (del 18/01/2006 @ 17:16:11, in TuttoStorto, linkato 2059 volte)

Quando si fa un colloquio di lavoro si riceve un'offerta di trattamento economico da parte di chi ci vuole assumere.
In effetti noi andiamo a vendere le nostre "braccia" a qualcuno, quindi dovremmo essere noi a fare il prezzo e non viceversa.
A questo punto è lecito domandarsi, se per l'assunzione funziona così, perchè quando siamo noi a vendere un prodotto/servizio dobbiamo fare noi il prezzo?
Nel momento in cui si offre una consulenza perchè dovremmo chiedere una cifra all'acquirente?
Di fatto ci sta assumendo per quel breve periodo della consulenza, allora ci dicesse lui quanto vuole darci e noi saremmo liberi di accettare o meno....

Continua a leggere...

Articolo (p)Link Commenti Commenti (0)  Storico Storico  Stampa Stampa
 
Di Admin (del 14/01/2006 @ 11:12:41, in TuttoStorto, linkato 180586 volte)

Ho scritto un romanzo, bene adesso vorrei pubblicarlo, ma come faccio a contattare gli editori?
Se pensiamo a Mondadori o Feltrinelli ecc. sembra che stiamo immaginando di andare a fare una passeggiata su Marte, ossia ASSURDO! ...

Continua a leggere...

Articolo (p)Link Commenti Commenti (589)  Storico Storico  Stampa Stampa
 
Di Admin (del 13/01/2006 @ 20:05:29, in TuttoStorto, linkato 11599 volte)

Leggi strane e buffe ma i politici...a che pensano?

Il blog TuttoStorto nasce con l'intento di denunciare le storture e le assurdità che subiamo tutti noi comuni mortali nel corso della nostra piccola ed inutile vita.
Ma vengo subito al dunque, qual è il senso della nostra cosidetta democrazia? Ma il popolo governa realmente? Personalmente mi trovo sempre a contatto con leggi, obblighi, ecc. ecc. che TUTTI vorrebbero abrogati, come mai?

...

Continua a leggere...

Articolo (p)Link Commenti Commenti (8)  Storico Storico  Stampa Stampa
 
Di Admin (del 13/01/2006 @ 20:05:29, in Annunci, linkato 3366 volte)
Salve a tutti,
l'AIPSI
http://www.aipsi.org Associazione Informatici Professionisti Sicurezza Informatica.
Vorrebbe espandere i propri soci al sud, che come al solito langue.
Chiunque sia interessato a divenire socio dell'AIPSI per la puglia ed il sud-est Italia, non esiti a contattarmi.
ciao

NBS di Giovanni Bassetti
Consulente Information Security
Socio CLUSIT e AIPSI
http://www.nannibassetti.com/
Cell. +39-3476587097
Articolo (p)Link Commenti Commenti (0)  Storico Storico  Stampa Stampa
 
Pagine: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Ci sono 245 persone collegate

< aprile 2017 >
L
M
M
G
V
S
D
     
1
2
3
4
5
6
7
8
9
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
             

Cerca per parola chiave
 

Titolo
Annunci (61)
CHI SONO (4)
Computer Forensics (104)
SICUREZZA INFORMATICA (6)
TuttoStorto (16)

Catalogati per mese:

Gli interventi più cliccati

Ultimi commenti:
Buon giorno, io ho p...
27/02/2017 @ 11:49:50
Di Ninni
sono straniera, veng...
23/12/2016 @ 13:43:34
Di MIKAELE FLOREZ
Certamente se potess...
01/11/2016 @ 19:40:51
Di Nanni Bassetti






24/04/2017 @ 07:26:25
script eseguito in 31 ms