Giovanni Bassetti Immagine
 Blog di Giovanni Bassetti... di Admin
 
"
Un computer sicuro è un computer spento e gettato in fondo al mare, con l'hard disk sbriciolato

N.B.
"
 

\\ Home Page : Storico : Computer Forensics (inverti l'ordine)
Di seguito gli interventi pubblicati in questa sezione, in ordine cronologico.
 
 
Di Admin (del 26/08/2017 @ 18:02:25, in Computer Forensics, linkato 46 volte)
Digital Forensics Cafè - terrò il primo corso il 3 ottobre 2017 a Brescia

CLICCA QUI
 
Di Admin (del 02/03/2017 @ 17:29:08, in Computer Forensics, linkato 247 volte)
Ho realizzato NBTempoW ossia la versione per Windows di NBTempo, per fare le timeline partendo da un file immagine, anche se splittato basta prendere solo il primo chunk.
E' stato realizzato con Lazarus (Delphi IDE), spero vi piaccia ; - )
 
Di Admin (del 23/11/2015 @ 12:31:01, in Computer Forensics, linkato 621 volte)
Carissimi colleghi che operate nell’ambito dell’informatica forense, vorremmo chiedervi solo qualche minuto del vostro tempo per partecipare ad un’iniziativa che siamo certi possa raccogliere il vostro interesse: rispondere ad un questionario specifico sulla figura e l’attività dell’informatico forense, una ‘foto di gruppo’ della nostra categoria che possa essere d’aiuto sicuramente a valorizzare i ‘pro’, ma anche a comprendere i ‘contro’ focalizzandoli meglio.

I risultati di questa Survey saranno esposti e commentati nell’ambito dell’evento che stiamo pianificando come ONIF, Osservatorio Nazionale di Informatica Forense, per febbraio 2016, a cui fin d’ora vi invitiamo.
Per partecipare al questionario, in modo assolutamente anonimo, basta seguire il link, che potete girare a tutti i colleghi interessati. Vi ringraziamo fin d’ora se vorrete contribuire a questo progetto!

SONDAGGIO: http://goo.gl/bHht59
 
Di Admin (del 05/11/2015 @ 07:50:21, in Computer Forensics, linkato 1779 volte)
Ho appena rilasciato CAINE 7.0 nome in codice "DeepSpace", la distro è sempre basata su Ubuntu 14.04, ma ha delle novità:
i device sono tutti bloccati in Read-Only by default, quindi non solo il mounting dei dischi, ma i veri e propri device sono in RO!
C'è l'opzione di boot TO RAM.
Ci sono sempre più strumenti con interfaccia grafica ed alcuni di mia creazione.

CAINE è una Gnu/Linux distro forense ossia dedicata alla digital forensics.

www.caine-live.net

 
Di Admin (del 30/09/2015 @ 09:51:04, in Computer Forensics, linkato 734 volte)
Salve a tutti,
ieri ho partecipato a questo nuovo progetto di "web-tv" organizzato dai ragazzi di Pirate's Night (canale YouTube: Pinpe Repette).
Devo dire che è stato molto divertente, interattivo, gli utenti interagivano tramite chat e tramite Twitter, una regia favolosa, vi consiglio di darci un'occhiata ; - )
Ecco il link:
https://www.youtube.com/watch?v=KUR6BOofTKs
 
Di Admin (del 29/03/2015 @ 10:47:58, in Computer Forensics, linkato 1294 volte)
A fine gennaio/2015 è nata l'associazione ONIF (Osservatorio Nazionale Informatica Forense), fondata da un gruppo di professionisti tra i più noti ed attivi in Italia, nella disciplina della digital forensics (informatica forense).
L'associazione si prefigge di divulgare le competenze necessarie per svolgere il lavoro dell'informatico forense o investigatore informatico, spiegare il come ed il cosa serve per essere un professionista del settore, oltre che cercare di creare delle linee guida tecniche ed economiche comuni.
ONIF è assimilabile ad un'associazione di categoria ed è aperta a tutti coloro che vogliono contribuire a migliorare la digital forensics professionale in Italia, infatti sono previsti i soci ordinari (professionisti), i soci simpatizzanti (forze dell'ordine, avvocati, ecc.) e soci onorari.
Ulteriori informazioni le trovate sul sito www.onif.it.

Nanni Bassetti
 
Di Admin (del 17/01/2014 @ 10:18:37, in Computer Forensics, linkato 3316 volte)
CAINE 5.0 "Blackhole" is out!




















Kernel 3.8.0-35

Based on Ubuntu 12.04.3 64BIT - UEFI/SECURE BOOT Ready!

Caine 5.0 su pendrive può bootare su Uefi/Uefi+secure boot/Legacy Bios/Bios.
Caine 5.0 su DVD può bootare su Legacy Bios/Bios.

SystemBack è il nuovo installer. Windows side è Win-Ufo.
http://www.caine-live.net/
 
Di Admin (del 13/12/2013 @ 09:46:38, in Computer Forensics, linkato 3788 volte)
Come funziona il Bitcoin Mining, spero di esser riuscito a descriverlo in modo semplice e comprensibile 
http://www.tomshw.it/cont/articolo/bitcoin-da-dove-vengono-le-monete-senza-banche/51653/1.html#.UqrDpfTuI8o
 
Di Admin (del 05/12/2013 @ 14:35:16, in Computer Forensics, linkato 14515 volte)
Ieri durante una lezione, presso la scuola di GdF di Ostia, sull'uso del Cellebrite UFED e Physical Analyzer (thanks to Luca Governatori), insieme a tutta la classe (in gambissima), abbiamo fatto un po' di reverse engineering usando la visualizzazione esadecimale di Physical Analyzer del database della famosa app di messaggistica WhatsApp per Android, dato che il P.A. non visualizza i messaggi cancellati di WhatsApp, almeno su Android 4.1.2 del Samsung S3.

Il database è di tipo SqlLite 3.0 e si trova in:
\data\com.whatsapp\databases\msgstore.db  

Prima dell'acquisizione fisica tramite UFED Touch del mio Samsung S3 con Android  4.1.2, ho provveduto a cancellare due (il primo ed il terzo) messaggi di una conversazione dal mio WhatsApp, i due in figura:



Finita l'acquisizione ed ottenuto il file DumpData.bin, siamo andati ad aprire con il viewer esadecimale il file msgstoredb.db e a cercare le parole chiave dei messaggi cancellati, ottenendo una visualizzazione esadecimale come questa (in figura l'editor non è quello di P.A.):


Il messaggio si compone del numero del mittente, seguito da un numero, che rappresenta la data senza l'ora, del messaggio in Unix Epoch Time, ossia il numero di secondi passati dal 01/01/1970 alle 00:00:00, con una semplice conversione con programmi come DCode o http://www.epochconverter.com/, si ricava che il numero: 1385911713 è la data 01 Dec 2013 alle ore 15:28:33, quindi l'orario non è esatto.
Bisogna trovare  la data e l'ora (timestamp) esatta di questo messaggio, facendo un po' di prove e confrontando con i messaggi in chiaro, scopriamo che i primi sei (6) byte successivi alla fine del testo del messaggio, rappresentano il timestamp dello stesso con data ed ora corretti.
Infatti preleviamo i 6 byte successivi del primo messaggio:
01 42 AE FF E8 20 e 01 42 AF 1F BA 5F e li traduciamo in decimale con la calcolatrice e poi convertiamo il numero in Unix Milliseconds Time, infatti qui il timestamp è in millisecondi e non in secondi, poi impostiamo DCode in UTC+1 (siamo in Italia in ora solare quindi UTC+1).




Stessa procedura per l'altro messaggio:



Concludiamo avendo estratto due messaggi cancellati, abbiamo ricavato il mittente, il destinatario, il testo ed il timestamp.
è stato divertente ed illuminante, spero serva a qualcuno ;).

Nanni Bassetti
http://www.nannibassetti.com
 
Di Admin (del 23/07/2013 @ 12:59:10, in Computer Forensics, linkato 26554 volte)
Oggi per diletto ho provato a capire come estrarre le chat da WhatsApp installato su un telefonino Android.
Prima di tutto bisogna sfogliare le directory del telefono e giunger qui:

/sdcard/WhatsApp/Databases/msgstore.db.crypt

Il database msgstore.db.crypt è un db sqlite criptato, ma cercando su Internet si scoprono almeno due sistemi semplici e veloci per decriptarlo:

openssl enc -d  -aes-192-ecb -in msgstore.db.crypt -out msgstore.db -K 346a23652a46392b4d73257c67317e352e3372482177652c

Dove la chiave è

346a23652a46392b4d73257c67317e352e3372482177652c

ed il file di output è il database in chiaro msgstore.db, che possiamo aprire e consultare con un qualsiasi programma, che legge i db sqlite, come SQL Lite database browser.

Il secondo sistema è un programma in Python, che genera un report in HTML:
http://blog.digital-forensics.it/2012/05/whatsapp-forensics.html (Zena Forensics).

Le cose strane sono due:
1) Non ci sono tutti i messaggi, per esempio alcuni si fermano a fine Giugno, altri arrivano fino a Luglio, ma non fino all'ultimo messaggio.
2) Ho provato a cancellare qualche messaggio e nonostante sul blog di Zena Forensics dicano che non è possibile recuperare i messaggi cancellati, dopo il decrypting quei due messaggi sono ancora visibili.
Analizzando i contenuti delle tabelle dell'SQL Lite DB msgstore.db, non noto nemmeno dei flag che indichino se i messaggi sono i status di deleted o active....

Quindi chiedo alla rete, qualcuno ne sa qualcosa?

UPDATE 03/Agosto/2013

Da un contributo di un utente di CFI si è giunti a conclusione che il msgstore.db.crypt è solo un db di backup non completo, mentre il vero db è msgstore.db ed è in chiaro e raggiungibile solo col telefono rootato o col dump fisico con strumenti come UFED.

/data/data/com.whatsapp/database

Era immaginabile, ma speravo che per una volta non vi fosse bisogno di esser root, ma bastava il db raggiungible da user.

Bye
Nanni Bassetti - http://www.nannibassetti.com
 
Pagine: 1 2 3 4 5 6 7 8 9 10 11
Ci sono 133 persone collegate

< settembre 2017 >
L
M
M
G
V
S
D
    
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
             

Cerca per parola chiave
 

Titolo
Annunci (62)
CHI SONO (4)
Computer Forensics (105)
SICUREZZA INFORMATICA (6)
TuttoStorto (16)

Catalogati per mese:

Gli interventi pił cliccati

Ultimi commenti:
Grazie a tutti quell...
11/09/2017 @ 19:34:32
Di Raymond
Piccola Offerta di c...
11/09/2017 @ 11:34:02
Di credito.locali.veloce
Salve ho fatto il ro...
19/07/2017 @ 16:15:53
Di Marc






20/09/2017 @ 20:20:53
script eseguito in 31 ms