Il seminario "SCENA DEL CRIMINE: INDAGINI, PROFILING, COMPUTER FORENSICS" tenutosi oggi (28/11/2009), è stato veramente un successone...

Oltre 100 persone (avvocati, magistrati, forze dell'ordine, investigatori privati, consulenti e semplici appassionati), hanno gremito la sala dell'Hotel S. Domenico,  per ascoltare in nostri interventi.

Un pubblico veramente attivo e simpatico!

Per me è stato un onore conoscere il giudice Pietro Errede ed il Dott. Luciano Garofano (ex comandante dei R.I.S. di Parma), col quale ci siamo lasciati in ottimi rapporti e progetti.

Walter Paolicelli è stato veramente in gamba ad organizzare tutto e tutto è andato splendidamente, dall'accoglienza in albergo alla cena e pranzo.

Con l'introduzione dell'Avv. Emilio Nicola Buccico e la moderazione del giudice Errede gli argomenti trattati sono stati:

Lo stato dell'arte delle investigazioni e dei consultenti tecnici/periti:
Garofano: "Nelle indagini scientifiche siamo in ritardo" 
Mi sono trovato in perfetta sintonia con tutto ciò che ha detto Garofano, c'è un gap pazzesco tra i giudici/avvocati/PM e i tecnici, questo si riflette anche sulle scelte dei periti, che devono operare sui casi in oggetto d'indagine, per non parlare del linguaggio della scienza ancora estraneo a moltissimi.

Poi è stata la volta dell'Avv. Walter Paolicelli che ha parlato del criminal profiling, puntando l'attenzione sul metodo induttivo e sul software Key Crime. Io e Walter ci siamo confrontati sui metodi deduttivo Vs. induttivo, poichè nel campo della digital forensics, personalmente, credo sia più valido il metodo deduttivo.

Il mio intervento è stato su una panoramica sulla digital forensics, il problema della scelta del tecnico e sul come si misurano le competenze, la mancanza di un protocollo rigido e di regole ben definite e poi un breve e veloce escursus sulle best practices e CAINE.

Ha chiuso i lavori l'Avv. Rocco G. Massa, con una overview sulle truffe online, antiche d'origine ma attuate coi mezzi moderni. Molto simaptico è stato l'ascolto di una telefonata tra un truffatore ed un truffato, dove il truffatore sfotteva apertamente il truffato, che rischiava un infarto dalla rabbia!

Nota personale: sono stato molto contento di conoscere tanta gente che segue questo BLOG e la mailing list di CFI. Ci sono state tante proposte di replicare eventi come questo in altre parti d'Italia, con Università e voglia di fare ed andare avanti! Bene...non mi aspettavo che quelle 4 cose che ho prodotto per la computer forensics avessero tanto seguito ed affetto...mi fa molto piacere...GRAZIE A TUTTI!

Devo dire che per l'impegno che ci ho messo, davvero poco e frettoloso, sono VERAMENTE CONTENTO ED ORGOGLIOSO di essermi classificato  al 5 (Quinto posto) alla DC3 Challenge (la sfida del Dipartimento della Difesa USA sui cybercrimes) nella categoria IMPACT (cittadini extra USA) e 22-esimo nella classifica generale sui 44 finalisti.

http://www.dc3.mil/2009_challenge/stats.php#IMPACT

dd if=/dev/auguri of=/home/buon2010.year conv=noerror count=365 bs=1

mount -t newyear -o rw /dev/luckyman /home/mylife

Se si deve acquisire un hard disk in maniera forense, ossia con tutti i crismi necessari al fine di garantire che la copia sia identica all'originale, a tutti quelli che operano nel settore viene subito in mente l'uso di DD, DCFLDD o DC3DD (nel mondo Open Source GNU/Linux), con le classice opzioni e parametri.

Gli approcci sono due:

1) Ottimistico (consideriamo il disco sano e tutti i settori sani)

2) Pessimistico (consideriamo che il disco abbia qualche settore danneggiato)

Nel caso in cui l'approccio ottimistico sia sconfessato, perchè durante l'acquisizione ci si ritrova con degli errori di lettura, allora si tenderà a porsi nell'ottica pessimistica, a volte anche ricominciando tutto d'accapo.

Esaminiamo gli scenari:

dd if=/dev/sdb of=/media/sdc1/disco.dd conv=noerror,sync bs=32K

Il suscritto comando leggerà blocchi da 32Kb dal disco /dev/sdb e scriverà sul disco destinazione /media/sdc1 (montato in scrittura) il file disco.dd, l'opzione conv=noerror,sync serve a due cose:...

Continua a leggere...

AIR 2.0.0 rilasciato:
http://www.nannibassetti.com/dblog/articolo.asp?articolo=99

Ciao a tutti,
ho modificato il famoso AIR (Automated Image and Restore) di Steve Gibson, per farlo girare non più con dcfldd ma con DC3DD, doppio hash, iflag=direct e qualche altra cosina...
Ho l'installer che mi ha inviato Gibson (entusiasta delle mie modifiche),  tutto sembra funzionare, però siamo in una fase di testing prima di lanciarlo online...
Chi vuole, può testarlo (inviatemi una mail con nome e cognome) e farmi un feedback su eventuali cose che non vanno.

Nel README ci sono le istruzioni, per chi non ha mai installato AIR.

Contattatemi per ricevere l'installer (LINUX ONLY)

AIR 2.0.0 rilasciato:
http://www.nannibassetti.com/dblog/articolo.asp?articolo=99


Grazie PS: ricordatevi di installare DC3DD sui vostri sistemi!

CAINE & DEFT a confronto su rivista Linux+
E' scritto in Spagnolo, però si capisce...un'approfondita disamina delle due uniche distro forensics gratis ed aggiornate rimaste al mondo:

LINUX+

Buona lettura

"A new version of AIR has been released. The primary change is that it now supports the dc3dd imager and doing 2 hashing algorithms. Thanks to Dr. Nanni Bassetti for his modifications and feedback that made this release possible. As always, feedback and comments appreciated."

These are the comments of Steve Gibson on SourceForge.net for the launch of the new release of
AIR (Automated Image and Restore).

I remember when I used for the first time this precious and useful GUI for the DD and DCFLDD, it was the 2005...me and thousands of people have loved it...and in the 2010 I am in the development team, because I just modified AIR changing DCFLDD with DC3DD, double hashing and iflag setting.

I was very happy that Steve has appreciated my starting changes and then he worked to tune and fix the final release of AIR 2.0.0

Special thanks to the Beta Testers:

Stefano Menozzi (very deep testing)
and
Raffaele Colaianni

AIR WEBSITE: http://air-imager.sourceforge.net/

Ieri 27/02/2010 ho tenuto il seminario sulla computer forensics a Cosenza presso l'ordine degli ingegneri.

Appena arrivato mi son trovato di fronte l'aula stracolma erano almeno 100 persone di tutte le età pronte a sciropparsi 6 lunghe ore dedicate a questa disciplina.

Sono stato presentato in maniera straordinaria, facendomi sentire come una rock star, ho scoperto che tanti mi seguivano da tempo, sia sul blog sia sulla mailing list di CFI, qualcuno dai tempi del mio corso di ASP e molti a causa della distrbuzione CAINE.

Dopo circa un'oretta dall'inizio una giornalista del "Quotidiano della Calabria" mi ha "sequestrato" per potermi intervistare privatamente, l'evento è andato liscio, dinamico, senza alcun sbadiglio, anzi con tante domande ed hanno tirato fino alla fine!

Ho parlato diffusamente delle best practices, la hash collision, gli aneddoti legati allo svolgimento delle operazioni, le CTP e le CTU, e di CAINE, ringraziando sempre Giancarlo Giustini che iniziò il progetto ed esaltando l'Open Source che peremette anche i passaggi di mano e/o le modifiche ai software (come è successo con AIR ), ho parlato delle collaborazioni proficue con tutti gli amici di sempre e quelli nuovi (da Denis a Maxim, ecc.), insomma una carrellata di argomenti tecnici e umani che ha generato vari spunti di riflessione.

Non mi rendevo conto di quanta gente ci/mi segue, di quanti sono grati di tutto il lavoro di divulgazione gratuita, dei prodotti software realizzati, della disponibilità sempre mostrata...un evento come quello di ieri mi ha fatto capire, che dal 2005 ad oggi le cose sono molto cambiate e che la Rete è un grande mezzo, è un sistema che permette di esprimerti e farti valutare, senza necessariamente aver lavorato per le mega aziende, aver conseguito 100 certificazioni costose, aver frequentato nomi noti o aver vissuto in città importanti...quindi, ancora una volta, GRAZIE A TUTTI per il sostegno e la stima.  
Un ringraziamento particolare all'Ing. Emilio Malizia ed all'Ing. Giuseppe Spina ;)

Dopo innumerevoli ritardi aerei giungo a Catania il giorno 01/03/2010 e Gianni mi viene a prendere all'aeroporto, nel raggiungere l'hotel comincio ad apprezzare la splendida cittadina siciliana e pregusto l'inizio del corso che si svilupperà nei 4 giorni successivi.

L'albergo è molto elegante e la sala è bella, con un soffitto affrescato ed un'atmosfera molto accogliente, penso subito che sarà utile a creare un ambiente amichevole e rilassato.

Il primo giorno inizia Gianni Amato parlando di sicurezza informatica operativa, sciorinando casi reali e contromisure reali, non la solita teoria macroscopica e spesso incomprensibile, il tutto inframmezzato da interventi degli alunni e del sottoscritto, in modo da realizzare un flusso di informazioni che si adattava di volta in volta e che spaziava dalla sicurezza alla forensics dinamicamente.

Subito inizia un primo esercizio pratico, dove si cerca di attaccare un sito simulato, in seguito si analizza un malware, poi parto io con una serie di esercizi di attacco a delle web applications con livelli successivi di difficoltà, il tutto sempre condito da teoria, discussioni, confronti, ecc.

 Il corso continua a pranzo, a cena, dopo cena,  insomma si crea una vero gruppo di lavoro e di amicizia tra i docenti e gli alunni (tutti molto preparati e provenienti da realtà medio/grandi), questo tipo di "convivenza" docente con alunno ha trasformato il corso in un qualcosa di diverso, una full immersion umana e tecnica, un vero e proprio bootcamp, lasciando profondamente soddisfatti tutti, sia i docenti sia i discenti, poichè corsi così "sbottonati", a detta degli astanti, non sono così diffusi. Durante la mia sessione ho parlato di computer forensics teorica e pratica, ho illustrato le acquisizioni da Windows con FTK Imager e write blocker software e da Caine con AIR 2.0.0 e con Guymager e da riga di comando, poi Autopsy, carving, editor esadecimale, ecc. La cosa bella era che per ogni argomento provavamo l'applicazione PRATICA facendo fare e non solo facendo ascoltare, questa parte di laboratorio è stata molto apprezzata.

 L'ultimo giorno è partito Walter Paolicelli che si è occupato di Legge 48/2008, codici di procedura penale, criminal profiling, ma molto belle sono state le discussioni avute sull'intepretazione giuridica del metodo scientifico e di altre obiezioni possibili in aula, oltre che di quanti errori di valutazione ci sono nella scelta di un consulente tecnico, dovuti all'ingnoranza, allo scarso uso della rete per fare ricerca sulle persone qualificate e su come i media spesso  facciano parlare gente blasonata che però spesso non è edotta sull'argomento di cui si sta dibattendo.

Insomma, il corso è stato un successo, è nato sulla rete, organizzato da gente della rete, seguito da persone della rete...la rete un grande mezzo che fornisce a tutti la possibilità di scegliersi e di scegliere, speriamo che sarà utilizzata sempre di più nel futuro, anche e specialmente per chi vuole portare e/o creare cultura in logistiche spesso e troppo abbandonate dal resto del mondo.

Programma del corso: http://www.securityside.it/corsi/crimini-informatici-catania.php

Nanni Bassetti 

Su Linux Magazine di giugno 2010 c'è uno speciale sull'informatica forense (computer forensics) e su Caine ed anche una bella intervista al sottoscritto...bè son soddisfazioni! :)

PS: i giornalisti spesso esagerano ;)