Giovanni Bassetti Immagine
 Blog personale di Nanni Bassetti... di Admin
 
"
Un computer sicuro è un computer spento e gettato in fondo al mare, con l'hard disk sbriciolato

N.B.
"
 

\\ Home Page : Storico : Computer Forensics (inverti l'ordine)
Di seguito gli interventi pubblicati in questa sezione, in ordine cronologico.
 
 
Di Admin (del 13/12/2013 @ 09:46:38, in Computer Forensics, linkato 4595 volte)
Come funziona il Bitcoin Mining, spero di esser riuscito a descriverlo in modo semplice e comprensibile 
http://www.tomshw.it/cont/articolo/bitcoin-da-dove-vengono-le-monete-senza-banche/51653/1.html#.UqrDpfTuI8o
 
Di Admin (del 05/12/2013 @ 14:35:16, in Computer Forensics, linkato 16981 volte)
Ieri durante una lezione, presso la scuola di GdF di Ostia, sull'uso del Cellebrite UFED e Physical Analyzer (thanks to Luca Governatori), insieme a tutta la classe (in gambissima), abbiamo fatto un po' di reverse engineering usando la visualizzazione esadecimale di Physical Analyzer del database della famosa app di messaggistica WhatsApp per Android, dato che il P.A. non visualizza i messaggi cancellati di WhatsApp, almeno su Android 4.1.2 del Samsung S3.

Il database è di tipo SqlLite 3.0 e si trova in:
\data\com.whatsapp\databases\msgstore.db  

Prima dell'acquisizione fisica tramite UFED Touch del mio Samsung S3 con Android  4.1.2, ho provveduto a cancellare due (il primo ed il terzo) messaggi di una conversazione dal mio WhatsApp, i due in figura:



Finita l'acquisizione ed ottenuto il file DumpData.bin, siamo andati ad aprire con il viewer esadecimale il file msgstoredb.db e a cercare le parole chiave dei messaggi cancellati, ottenendo una visualizzazione esadecimale come questa (in figura l'editor non è quello di P.A.):


Il messaggio si compone del numero del mittente, seguito da un numero, che rappresenta la data senza l'ora, del messaggio in Unix Epoch Time, ossia il numero di secondi passati dal 01/01/1970 alle 00:00:00, con una semplice conversione con programmi come DCode o http://www.epochconverter.com/, si ricava che il numero: 1385911713 è la data 01 Dec 2013 alle ore 15:28:33, quindi l'orario non è esatto.
Bisogna trovare  la data e l'ora (timestamp) esatta di questo messaggio, facendo un po' di prove e confrontando con i messaggi in chiaro, scopriamo che i primi sei (6) byte successivi alla fine del testo del messaggio, rappresentano il timestamp dello stesso con data ed ora corretti.
Infatti preleviamo i 6 byte successivi del primo messaggio:
01 42 AE FF E8 20 e 01 42 AF 1F BA 5F e li traduciamo in decimale con la calcolatrice e poi convertiamo il numero in Unix Milliseconds Time, infatti qui il timestamp è in millisecondi e non in secondi, poi impostiamo DCode in UTC+1 (siamo in Italia in ora solare quindi UTC+1).




Stessa procedura per l'altro messaggio:



Concludiamo avendo estratto due messaggi cancellati, abbiamo ricavato il mittente, il destinatario, il testo ed il timestamp.
è stato divertente ed illuminante, spero serva a qualcuno ;).

Nanni Bassetti
http://www.nannibassetti.com
 
Di Admin (del 23/07/2013 @ 12:59:10, in Computer Forensics, linkato 31608 volte)
Oggi per diletto ho provato a capire come estrarre le chat da WhatsApp installato su un telefonino Android.
Prima di tutto bisogna sfogliare le directory del telefono e giunger qui:

/sdcard/WhatsApp/Databases/msgstore.db.crypt

Il database msgstore.db.crypt è un db sqlite criptato, ma cercando su Internet si scoprono almeno due sistemi semplici e veloci per decriptarlo:

openssl enc -d  -aes-192-ecb -in msgstore.db.crypt -out msgstore.db -K 346a23652a46392b4d73257c67317e352e3372482177652c

Dove la chiave è

346a23652a46392b4d73257c67317e352e3372482177652c

ed il file di output è il database in chiaro msgstore.db, che possiamo aprire e consultare con un qualsiasi programma, che legge i db sqlite, come SQL Lite database browser.

Il secondo sistema è un programma in Python, che genera un report in HTML:
http://blog.digital-forensics.it/2012/05/whatsapp-forensics.html (Zena Forensics).

Le cose strane sono due:
1) Non ci sono tutti i messaggi, per esempio alcuni si fermano a fine Giugno, altri arrivano fino a Luglio, ma non fino all'ultimo messaggio.
2) Ho provato a cancellare qualche messaggio e nonostante sul blog di Zena Forensics dicano che non è possibile recuperare i messaggi cancellati, dopo il decrypting quei due messaggi sono ancora visibili.
Analizzando i contenuti delle tabelle dell'SQL Lite DB msgstore.db, non noto nemmeno dei flag che indichino se i messaggi sono i status di deleted o active....

Quindi chiedo alla rete, qualcuno ne sa qualcosa?

UPDATE 03/Agosto/2013

Da un contributo di un utente di CFI si è giunti a conclusione che il msgstore.db.crypt è solo un db di backup non completo, mentre il vero db è msgstore.db ed è in chiaro e raggiungibile solo col telefono rootato o col dump fisico con strumenti come UFED.

/data/data/com.whatsapp/database

Era immaginabile, ma speravo che per una volta non vi fosse bisogno di esser root, ma bastava il db raggiungible da user.

Bye
Nanni Bassetti - http://www.nannibassetti.com
 
Di Admin (del 24/03/2013 @ 09:13:11, in Computer Forensics, linkato 46617 volte)

Sono stato ospite come relatore ed ho partecipato anche alla valutazione dei risultati del gioco di simulazione su un'acquisizione ed analisi di un pendrive. Il tutto si è tenuto presso la Scuola Ispettori e Sovrintendenti della Guardia di Finanza, in due giornate del convegno di studi sul tema: “Computer Forensics”. L'aula era piena, mai visto tanti finanzieri tutti insieme : - D, ed attenta, son stato trattato benissimo ed è stata un'esperienza elettrizzante, grazie alla GdF per il loro lavoro e grazie agli organizzatori per l'onore ricevuto.
Nanni Bassetti
Per saperne di più: http://www.inabruzzo.com/?p=159827
 
Di Admin (del 30/01/2013 @ 17:48:27, in Computer Forensics, linkato 13715 volte)

DISCOVERING TRIBLER FOR FORENSIC EXAMINATION
By Nanni Bassetti – http://www.nannibassetti.com

This is an OPEN DOCUMENT written to be improved by the readers, because I wrote it using only experiments on this program and its structure.

Tribler is a famous new bittorrent client, it is open source, it is different from the others bittorent clients because it is a peer-to-peer client, but maybe Wikipedia could help me to explain it better:

From: http://en.wikipedia.org/wiki/Tribler

"Tribler is an open source peer-to-peer client with various features for watching videos online. The user interface of Tribler is very basic and focused on ease of use, instead of including features.[2] Tribler is based on the BitTorrent protocol and uses an overlay network for content searching.[3] Due to this overlay network Tribler does not require an external website or indexing service to discover content.[4] Tribler features include: video-only searching, experimental video streaming, and an integrated video player. Tribler is available for Linux, Windows and OS X."

The scope of this paper is to make a first classification of the most interesting things we can consider to find out the downloaded files with Tribler.

We can examine these files (in a Windows OS):

1) C:\Program Files (x86)\Tribler\triblere.exe.log or c:/users/USERNAME/tribler.exe.log

2) C:\Users\USER_NAME\Desktop\TriblerDownloads

3) C:\Users\USER_NAME\AppData\Roaming\.Tribler\recent_download_history (HERE WE CAN FIND WHERE IS THE DOWNLOAD DIRECTORY)

4) C:\Users\USER_NAME\AppData\Roaming\.Tribler\sessconfig.pickle (Tribler settings)

Then there is a directory named:

C:\Users\USER_NAME\AppData\Roaming\.Tribler\seeding_manager_stats

where we can find files named with an hash code like:

f4aed57f74ac8dX4af3fd1ae6b5XX1eX2b881692.pickle

if we open it, we can see something like this:

(dp1
S'time_seeding'
p2
F59.470001028611229
sS'total_down'
p3
L1051454L
sS'version'
p4
I1
sS'total_up'
p5
L0L
s.

Where 1051454 is the size of the file in bytes the user downloaded.

Then, we can go into

C:\Users\USER_NAME\AppData\Roaming\.Tribler\dlcheckpoints

and find for the same file name
f4aed57f74ac8dX4af3fd1ae6b5XX1eX2b881692.pickle

and open it with a text editor like Notepad++, we can find there the file name the user downloaded, e.g. “johndoe.pdf’

So, now we can cross the filename we found there with the file name we found into the C:\Users\USER_NAME\Desktop\TriblerDownloads

If the user deleted that file we can try to retrieve it by data carving or deleted file recovering...

We can affirm that the file “johndoe.pdf” has been downloaded by that computer for sure, because these tracking files and because the tribler.exe.log.

We have others evidences to affirm that “johndoe.pdf” has been downloaded, we can examine the SqlLite database

C:\Users\USER_NAME\AppData\Roaming\.Tribler\sqlite\tribler.sdb 

We can look into the table MyPreference  for the downloaded files, the table is:  

torrent_id destination_path progress creation_time click_position reranking_strategy
451 c:\etc\etc 100 1359531172  -1 1

The creation_time is in Unix epoch time UTC the ending time of the download.

Unix Epoch time conversion: 1359531172 --> 2013-01-30 07:32:52. UTC

So, if we query the table “Torrent”:

we can find the record by torrent_id = 451 and we’ll see many interesting data about the file has been downloaded at 100% (as we can see in the field “progress” of the MyPreference table), its name and others informations.

We can see the starting creation time (field insert_time of the Torrent table) in Unix time and we can convert it in human timestamp in UTC.

Unix Epoch time conversion: 1359531111 --> 2013-01-30 07:31:51. UTC

We can say that the download started at 07:31:51 and ended at 07:32:52 on 2013-01-30.

We can use SQL Spy to open tribler.sdb

http://www.yunqa.de/delphi/doku.php/products/sqlitespy/index

and a Unix Time converter online
http://www.onlineconversion.com/unix_time.htm 
or DCode
http://www.digital-detective.co.uk/freetools/decode.asp

 
Di Admin (del 03/01/2013 @ 11:02:19, in Computer Forensics, linkato 5365 volte)
Salve a tutti,
la UgoLopez.it ha organizzato un corso di digital forensics tutto in FAD (Formazione A Distanza) su una magnifica piattaforma di e-learning.
E' un bell'esperimento per vedere se c'è un appeal su questo tipo di offerta formativa, specialmente sulla computer forensics.

Il corso: modalità di svolgimento
Lo scopo del corso è quello di fornire delle solide fondamenta per intraprendere attività nel mondo dell'investigazione digitale, materia in continua trasformazione e divenire. Il corso è pensato quindi per professionisti del settore informatico interessati ad approfondire le proprie conoscenze sulle procedure teoriche e pratiche di Informatica Forense. Il corso si svolgerà in e-learning su piattaforma dedicata sincrona. L'interazione tra il docente e gli studenti sarà di tipo audio/video, con possibilità di condivisione del desktop e di controllo remoto e, per gli studenti, di rivolgere delle domande alla fine di ogni lezione. Una web-chat sarà inoltre disponibile per eventuali comunicazioni testuali. All'interno della piattaforma sarà disponibile il materiale didattico (lezioni, esercitazioni, etc.) e sarà possibile un confronto asincrono attraverso forum dedicato. I video delle lezioni, inoltre, saranno disponibili on-line a tutti gli iscritti immediatamente dopo le lezioni.

Pre-requisiti per la partecipazione:
Buona conoscenza del sistema operativo Windows, delle basi di Linux e dei concetti base sui File System

Maggiori info QUI

 
Di Admin (del 03/10/2012 @ 16:44:16, in Computer Forensics, linkato 2185 volte)
Oggi ho rilasciato Caine 3.0 "Quasar", è stato un bel lancio, col relativo feedback positivo INTERNAZIONALE già dopo poche ore.

Ricordo ancora quando presi in mano il progetto dalla release 1.0 (2009) ad oggi, dando i codenames alle varie release: Shining, Newlight, Supernova ed oggi Quasar...
Caine è un orgoglio mio, di tutti coloro che lo usano e suggeriscono, aiutano, contribuiscono al suo sviluppo, grazie ad una costante comunicazione ed interscambio di idee, il progetto cresce e raccoglie tutti i suggerimenti ed i contributi software, insomma un orgoglio italiano, un prodotto utilizzato in tutto il mondo, gratuito e open source...

Con questo post ringrazio nuovamente tutti gli utenti di Caine, gli sviluppatori di open source, gli amici che hanno testato le beta version, e spero che sia un bel lavoro...

Quest'anno CAINE viaggia su DVD.... ; - )

http://www.caine-live.net

Nanni Bassetti

 
Di Admin (del 09/02/2012 @ 15:50:12, in Computer Forensics, linkato 4518 volte)

L'Istituto VFF Mare Nostrum
http://www.vff-marenostrum.org/

Mi ha consegnato e li ringrazio per questo, un attesato premio per il lavoro svolto sulla GNU/Linux live distro CAINE:

 

 
Di Admin (del 01/12/2011 @ 16:38:43, in Computer Forensics, linkato 2901 volte)

La DC3 Challenge del Dipartimento della Difesa degli Stati Uniti è una sfida di investigazioni informatiche.

Quest'anno mi sono impegnato davvero poco, però il risultato non è male ;) 35-esimo su 573 partecipanti in tutto il mondo e secondo tra i 5 italiani partecipanti ed 11-esimo tra tutti i cittadini NON-US :)))










I miei risultati negli anni scorsi:

Risultati 2010
Risultati 2009

 
Di Admin (del 21/11/2011 @ 20:58:24, in Computer Forensics, linkato 2563 volte)

Mi complimento per il proscioglimento degli Avv. Vito Russo ed Emilia Velletri ex legali di Sabrina Misseri (caso Sarah Scazzi di Avetrana (TA)) e son contento che la mia perizia di parte (CTP) sia stata un tassello importante per il raggiungimento dell'assoluzione....congratulazioni anche all' avvocato difensore Gianluca Pierotti.


http://ansa.it/web/notizie/rubriche/cronaca/2011/11/21/visualizza_new.html_15888842.html

 

Quando il lavoro genera questi frutti sono delle belle soddisfazioni! ; - )

Nanni Bassetti

 
Pagine: 1 2 3 4 5 6 7 8 9 10 11
Ci sono 25 persone collegate

< marzo 2024 >
L
M
M
G
V
S
D
    
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
             

Cerca per parola chiave