Di seguito gli interventi pubblicati in questa sezione, in ordine cronologico.
 
 

CHANGELOG CAINE 2.5.1 "SuperNova"

Ho rilasciato Caine 2.5.1 con alcuni fixings di piccolo conto e degli aggiornamenti...sempre per andare verso la perfezione

Nanni Bassetti

Kernel 2.6-32.35 
ADDED:
ZFS Fuse 
exFat support 
Epiphany browser 
new mounter 
new TSK (Sleuthkit)
some fixings
New NAUTILUS SCripts 
ataraw 
bloom 
fiwalk 
xnview 
NOMODESET in starting menu 
xmount 
sshfs 
Reporting by Caine Interface fixed 
xmount-gui 
nbtempo 
fileinfo 
TSK_Gui 
Raid utils e bridge utils 
SMBFS
BBT.py
------------------------------------------------
Widows Side:
Wintaylor updated & upgraded

http://www.caine-live.net/

Da tempo mi domandavo come risolvere una mancanza, a quanto ne so io, nel mondo dell'open source applicato all'analisi dei supporti di memoria e nella computer forensics, ossia un sitema che indicizzasse su database tutto il contenuto di un disco (ad esempio), comprendendo i file cancellati ed i file derivanti da data carving ed inoltre eliminasse i doppioni generati dal carving.

L'indicizzatore poi doveva cercare delle keywords anche lavorando nei file compressi e negli allegati email, insomma una volta indicizzato tutto il contenuto si doveva poter fare ricerche per keywords o frasi, esattamente come si fa con Google.

Ho scoperto qualche mese fa questo fantastico programma: RECOLL che indicizza un contenuto di una directory e permette le varie ricerche.

Bene, dunque basta montare in loop l'immagine DD o il dispositivo a blocchi, es. /dev/sdb, e posso indicizzarlo, poi faccio estrarre i file cancellati, effettuo il carving solo sul freespace, elimino i doppioni, conservo gli indici nella directory del caso in esame, così da poterli allegare alle perizie.

Da questo nasce: KS.sh un bash script che fa tutto questo....grazie anche alla collaborazione intellettuale di alcuni amici (trovate i thanks nei commenti dello script) ed all'ottimizzazione del codice in collaborazione con Raul Capriotti
Potete scaricarlo da qui:

http://scripts4cf.sourceforge.net/tools.html

Spero sia utile

 Nanni Bassetti

 Ma si per una volta smetto di essere modesto, massì si dica pure, la DIGICONF Roma 2011 è stata un successone!!!

Si erano iscritti in quasi 240, si sono presentati in 120/130 da tutte le regioni d'Italia, ci hanno seguito fino alle 18.00, hanno fatto domande, gli argomenti sono stati tutti appassionanti...che dire? Sono soddisfattissimo, l'evento è partito come un voler rifare la conferenza di CFItaly 2008, poi il sottoscritto e Luca Governatori si sono interfacciati da Luglio 2011 fino ad Ottobre con centinaia di telefonate ed e-mail per organizzare al meglio l'evento...è stato stressante, faticoso e costoso (per lo sponsor ), ma ne è veramente valsa la pena.

Chiaramente abbiamo scelto sempre l'approccio pragmatico, temi tecnici reali, fatti concreti e non le elucubrazioni teoriche e spesso terroristiche e molto spesso senza fondamenti scientifici, che girano nell'ambiente, e questo forse è il segreto del successo, che continuiamo a ricevere, oltre che il calore e la passione di chi ci segue...non so se ho esagerato, ma sto scrivendo a 2 ore dalla fine dell'evento e la gioia, la soddisfazione, l'endorfine sono in circolo ... :)

Grazie a TUTTI!

Ah ...di che sto parlando? Di questo: http://www.digiconf.net

 

 

 

 

 

 

 

....

 Finalmente ho rilasciato CAINE 2.5 nome in codice SUPERNOVA. Le novità sono che è molto più "pulito", ha un nuovo mounter, nuovi Nautilus scripts, la Caine Interface genera di nuovo il report, insomma un pò di piccole cose che andavano fatte, oltre che gli aggiornamenti dei tools. Anche NBCaine, la versione di Caine per pendrive è nettamente migliorato, che dirvi ancora? Godetevelo!
http://www.caine-live.net

 

Come avevo preannunciato qui siamo riusciti ad organizzare un grande evento dedicato alla Digital Forensics and Security, grazie allo sponsor GovForensics.

Il programma è ricco ed interessante e come al solito sarà occasione per incontrarsi di persona ed arricchirsi culturalmente l'uno con l'altro.

La decisione di rendere l'evento gratuito nasce dall'esigenza di disseminazione culturale e d'incontro con tutti gli operatori del settore e chi vuole avvicinarsi alla materia, anche se i temi trattati saranno leggermente "advanced" per chi ha almeno l'infarinatura di base.

Trovate tutto il materiale e le informazioni qui: http://www.digiconf.net

Ci vediamo a Roma l' 01/Ottobre/2011 allora

Ciao a tutti, 
il 18/Giugno/2008 

http://www.cfitaly.net/convegno2008 
http://www.cfitaly.net/convegno_cfi_luspio_20080618_svolgimento 

grazie all'impegno di Benedetto Colangelo, l'Università S. Pio V - Roma, ospitò il sottoscritto, Gianni Amato, Denis Frati, Francesco Micozzi, Giambattista Gallus, Mario Pascucci e Giancarlo Cuccinotta, per un primo e bellissimo seminario dedicato alla digital forensics, fu il primo, nacque sulla mailing list CFI, fu gratuito per tutti, fu l'occasione di conoscerci fisicamente...fu il primo vagito di CFI nel mondo reale! 
Un evento spontaneo, un evento che rimarcava la voglia di condivisione e divulgazione, da allora siamo cresciuti tutti, CFI ha raggiunto i 1009 membri iscritti, ognuno di noi si è evoluto, ma non ci siamo mai persi di vista....allora da una chiacchierata telefonica con Gianni, ci è venuto in mente: 
"Perchè non rimettiamo insieme la band?" 
Ritorniamo più vecchi, più saggi ma sempre con lo stesso spirito. 
L'idea è quella di organizzare un evento simile, con gli argomenti aggiornati, più spazio alle domande e risposte, ecc. e sopratutto GRATIS! 
Però ci servirebbero degli sponsor, per almeno coprire le spese di viaggio ed alloggio dei relatori che vengono da fuori Roma, magari anche qualche Ente/Università/Azienda che voglia sponsorizzare o fungere da collettore per gli sponsor. 
Quindi chiedo alla lista se qualcuno può interessarsi e di contattarmi in privato.... 
Grazie a tutti e teniamo le dita incrociate ; 

Gli argomenti sono: 

1) Nanni Bassetti - "Casi reali di workaround e problem solving nelle fasi di acquisizione ed analisi" 
2) Gianni Amato - "Analisi del malware" 
3) Denis Frati - "La digital forensics sul campo di battaglia" 
4) Mario Pascucci - "Come lacrime nella pioggia: cosa rischia di rimanere delle nostre 
vite digitali" 
5) Francesco Paolo Micozzi e Gianbattista Gallus - "Ripetibilità vs irripetibilità - accertamenti vs attività tecniche - I recenti arresti giurisprudenziali in materia di acquisizione della prova digitale e sulle conseguenze della violazione delle "nuove" regole previste dal cpp, giurisprudenziali e dottrinali"
 

MAGGIORI INFORMAZIONI QUI http://www.digiconf.net

Nanni Bassetti

Il corso di "Computer Forensics" che ho tenuto dal 05/Aprile/2011 al 08/Aprile/2011 a Roma presso il MInistero degli Affari Esteri è stata una bellissima esperienza sia professionale sia umana.

La classe era composta da gente brava e preparata, sistemisti ed ingegneri di rete del MAE, tutti molto interessati all'argomento, con delle intelligenze vivaci ed attente, che hanno portato a sviscerare gli argomenti anche più ostici, che in genere emergono durante il corso.

Il rapporto umano si è consolidato e si son condivisi empaticamente i problemi, le speranze e le soluzioni, scoprendo che le realtà non sono poi così diverse.

Le serate romane sono state allietate da una serie di incontri interessanti, il primo giorno ho conosciuto personalmente gli amici della sezione di Sezione Informatica Forense del Ministero dell'Interno Servizio Polizia delle Comunicazioni, poi la cena con gli amici di CFI e gli altri "romani" con i quali in genere sono in contatto solo via Internet.

L'ultimo giorno si è concluso con un pò di maretta a causa di un incendio in un locale del MAE, ma alla fine siamo riusciti a fare un bel pò di esercizi!
Bella esperienza, penso si ripeterà e spero presto ;)
Nanni Bassetti

Svolgendo alcuni casi in cui serviva creare delle timeline per verificare l'attività del computer in esame, mi è venuta la voglia di creare una piccola GUI (Graphical User Interface), insomma un'interfaccia grafica, per i due strumenti presenti nello Sleuthkit ossia tsk_gettimes e mactime, che servono proprio a generare la timeline e salvarla in formato CSV (leggibile con un foglio elettronico).

Il programmino l'ho chiamato NBTempo, un semplice Bash script con interfaccia di dialogo fatta tramite YAD (Yet Another Dialog).

I parametri configurabili comprendono il GMT (Greenwich Mean Time), il Time Skew (lo scostamento in secondi dell'orario del sistema, es. del BIOS, dall'orario reale), la scelta del device o del file immagine (supporta solo il raw), l'intervallo delle date.

Chiaramente lo script lavora in Linux e va lanciato con l'immancabile SUDO.

sudo ./nbtempo.sh

Nel pacchetto c'è anche il file .DEB per installare lo YAD. 

 

Insomma è nato così NBTempo scaricabile qui http://scripts4cf.sourceforge.net/tools.html

Nanni Bassetti

Il collaboratore e amico John Lehr, creatore dei Nautilus Scripts di Caine 2.0, ha scritto un bell'articolo su alcune acquisizioni "disk imaging" particolari, che può essere d'aiuto a molti, nel momento in cui si trovassero di fronte a problemi simili:

http://linuxsleuthing.blogspot.com/2011/02/difficult-disk-imaging.html

Inoltre un utente di Caine ha realizzato un video tutorial sull'uso di Photorec, uno dei migliori data carver in circolazione:

http://www.youtube.com/watch?v=s_TLtOq81l0

Spero siano due contributi utili, specialmente per chi sta iniziando ;)
Buona lettura!

Nanni Bassetti

Grazie al CSIF.tv Nanni Bassetti e Walter Paolicelli, terranno 2 eventi ad Oristano il 18/02/2011 ed a Cagliari il 19/02/2011. Maggiori info presso:

http://www.csif.tv/eventi/PrimoSeminarioCSIF2011.pdf

Per ogni informazione e pre-iscrizione scrivere a:
segreteria@csif.tv