Di seguito tutti gli interventi pubblicati sul sito, in ordine cronologico.
Di Admin (del 16/09/2009 @ 08:55:58, in Annunci, linkato 2494 volte)
Ciao a tutti amici di CFI, tempo fa si è discusso di creare un'associazione CFI per promuovere alcune cose. Il progetto è risultato abbastanza arduo da concretizzare, dunque a Giugno, il sottoscritto, Walter Paolicelli e Rocco Gianluca Massa, si sono incontrati per parlare di un new deal dell'associazione World Wide Crime ( http://www.worldwidecrime.it) in essere già da qualche anno, con tanto di statuto, direttivo, corsi e seminari effettuati ecc. ecc. Morale della favola? Sono entrato nel direttivo ed insieme a Walter e Gianluca, abbiamo messo giù dei punti : http://nuke.worldwidecrime.it/Associarsi/tabid/78/Default.aspxche ricordano molto gli intenti che avevamo per CFI. Non è cambiato niente dall'idea reggente il progetto CFI associazione, gli scopi sono + o - gli stessi, con un occhio di riguardo alla "delocalizzazione" degli eventi, per cercare spargerli su tutto il territorio invece che nelle solite DUE città. La quota annuale associativa è di soli 15 euro e stiamo per progettare un primo evento di presentazione....che dire speriamo che questo gemellaggio dia soddisfazione a tutti quelli che sentono il bisogno di formazione ed aggregazione su certe tematiche specifiche. Grazie a tutti
Denis Frati ed il sottoscritto hanno appena pubblicato l'ultima release di Selective File Dumper, SFDumper per gli amici ;)
Quali sono le novità?
- Adesso il software lavora su device e su immagini di tipo raw/ewf/aff e splittate, una grande comodità per tutti.
- L'output è più ordinato e pulito.
- Non ci sono più errori di output dovuti ai file orfani.
- Può essere avviato in modalità "linea di comando" oppure in modalità interattiva (alla vecchia maniera di SFDumper).
- C'è la possibilità di operare al meglio su immagini di device con file system hfs/hfs+, utilizzando le feature messe a disposizione dagli Snapshots di SleuthKit.
- Ci sono i numeretti che indicano l'avanzamento del lavoro, mentre il software è in esecuzione.
Insomma sono novità importanti, che hanno eliminato i problemi di recupero su alcuni file ed hanno reso lo strumento molto più flessibile e potente.
Sito del tool http://sfdumper.sourceforge.net .
Muchas gratias
E' disponibile online il Symantec Phishing Report - Aprile 2009, una panoramica generale sulle tendenze del phishing e alcuni dati interessanti raccolti dal team di esperti di Symantec. Di seguito, le tendenze principali rilevate:
I phishing toolkit, dei veri e propri kit automatici che facilitano la creazione di siti di phishing, continuano ad essere usati per gli attacchi di tipo fraudolento. Secondo Symantec, il 25% degli URL di phishing sono stati creati tramite questi strumenti. Nonostante però un aumento del 19% negli attacchi tramite toolkit, la proporzione sul totale di phishing del mese è costante.
Sono stati sfruttati più di 113 servizi di web hosting, che hanno rappresentato il 9% degli attacchi. Nonostante le società di web hosting continuino a migliorare i propri strumenti per limitare gli attacchi, questo tipo di phishing è aumentato del 5% rispetto al mese precedente. Se si considera però il volume totale degli attacchi di phishing, la proporzione di quelli che usano i servizi di web hosting è diminuita rispetto al mese scorso.
Tra i siti in lingua non inglese, i più frequenti sono quelli in francese, seguiti da quelli in italiano e cinese. E' stato rilevato un totale di 3650 siti non inglesi nel mese di aprile, con un aumento del 5% rispetto al mese precedente. Questo aumento può essere il risultato di una crescita del volume totale del numero di messaggi osservati da Symantec negli ultimi mesi.
Il report completo, in lingua inglese, è disponibile al link http://tinyurl.com/qq2x95
Approfondimenti e discussione in occasione del Symantec Technology Day Scenario 2009, Milano, Teatro Franco Parenti, 9 giugno 2009, ore 9.30.
Registrazione: http://symantec.freedatalabs.com/
Seguici su Facebook per essere aggiornato in anteprima su eventi e pubblicazioni Symantec: http://www.facebook.com/pages/Symantec-Technology-Day/74719484173
Di Admin (del 08/05/2009 @ 12:32:43, in Annunci, linkato 2665 volte)
Raw2FS, acronimo che serve ad indicare lo scopo di questo mio nuovo bash script per Linux, ossia ricondurre i nomi dei file estratti con tool come Foremost, al nome presente nel file system, con tutto il suo percorso.
Sappiamo che Foremost, come altri carver, salvano i file nominandoli col numero di settore (da 512 bytes), di partenza, in cui questi si trovano, quindi mi serviva uno strumento per risalire all'eventuale nome presente nel file system. Se il file "carvato" non ha corrispondenza con un i-node allora il tool salva l'output hex/ascii di un settore/cluster/block in un file di testo. Tutto è riassunto in un report in HTML. Ma visto che ero in argomento, perchè non implementare anche una ricerca per stringhe? Raw2Fs permette di cercare più keywords oppure di caricare un file di testo, generato dal "grepping" e riportare tutti i file nel file system che contengono quelle keywords, se invece la keyword è contenuta nello slack space, allora viene salvato l'output hex/ascii di un settore/cluster/block.
Il motore di tutto è questo: se ho un file nominato 00001234.doc (carving), quel numero "1234" rappresenta il settore in cui il file è stato trovato dal carver, quindi lo si moltiplica per 512 (dimensione minima del settore) e si ottiene l'offset in byes del file, che chiamremo $offcarv. Poi il tool cerca a quale partizione appartiene il file, trova l'inizio della partizione/spazio non allocato e moltiplica lo starting sector x la dimensione del settore/cluster/blocco (es. 1024), che chiameremo $ss, per ottenere l'offset in bytes della partizione, che chiameremo $offbytepart. (ricodiamo che per fat -> settore, ntfs -> cluster, ext2/3 -> blocco).
Ed ecco la formuletta:
($offcarv - $offbytepart) / $ss
Ossia l'offset del file carvato - l'offset di inizio partizione diviso la grandezza del settore/cluster/blocco usato in quella partizione da quel file system. Poi tramite i tools dello Sleuthkit, Raw2Fs fa tutto il resto.... :) Per le keywords stesso discorso, solo che nel file derivante dalla ricerca con strings e grep, si trovano già gli offset in bytes delle stringhe, quindi non c'è bisogno di moltiplicare per 512.
Dopo quest'ennesima "fatica", ho pensato di lanciare il sito:
http://scripts4cf.sf.net
contenente alcuni scripts utili, ad oggi realizzati da me e da Denis Frati, ma aperto ad ospitare anche scripts fatti da altri, insomma una vera e propria piccola biblioteca di tools costruiti dagli "investigatori digitali", man mano che si trovano a dover affrontare e risolvere i problemi che incontrano durante le loro indagini e/o esercizi. Spero di aver fatto cosa utile... ;)
Ormai il Web 2.0 impazza, siamo tutti più o meno protagonisti in varie piazze virtuali, ci si innamora, si litiga, si stringono amicizie, si fanno guerre ideologiche, ci si critica, insomma tutto il bene e tutto il male che l'uomo può esprimere.
Diffamazione, stalking, violazione del copyright, ecc. ecc. sono tra i fatti, che posson accadere sul web, ma tecnicamente e giuridicamente diventa difficile "cristallizare" una pagina web e farne una copia conforme, perchè essa è spesso dinamica, essa spesso cambia, il proprietario ne altera il contenuto appena sente puzza di bruciato e tante altre motivazioni, note a chi si occupa di computer forensics.
Ecco che Gianni Amato e Davide Baglieri, con il testing ed i suggerimenti di tanti membri di CFI (Computer Forensics Italy), compreso lo scrivente, hanno sviluppato HashBot http://www.hashbot.com/.
Curiosi di saperne di più? Lascio l'approfondimento ad uno dei suoi creatori:
http://www.gianniamato.it/2009/04/hashbotcom-congela-un-documento-web-e.html
Buona lettura ;)
Con la diffusione dei netbook e dei sistemi che bootano da porta USB, ho proposto a Giancarlo Giustini, il project manager di CAINE (la Linux Live distro per la computer forensics), di realizzarne una versione bootabile da usb e lui mi ha dato "luce verde".
L'abbiamo chiamata NBCAINE (NetBook Caine) ed ora passo ad una breve descrizione:
NBCAINE è un'immagine raw (dd, bitstream, ecc.), di un pendrive da 1GB, contenente la versione LiveUsb di Caine e la parte Windows side rappresentata da Wintaylor, inoltre si sono aggiunti altri tools per l'analisi live su sistemi windows. In questo modo si ha in tasca un sistema veloce e pronto per il futuro dei nostri PC, che permette di compiere le stesse operazioni di un LiveCd Linux ed anche di fare un'analisi live su un sistema Windows based, grazie a Wintaylor, che annovera tool utilissimi come, per esempio, WFT.
Come si usa:
Una volta scaricata l'immagine si deve aprire una terminal window e:
1) gzip -d nbcaine.dd.gz (L’immagine va prima scompattata con gzip) 2) sudo dd if=nbcaine.dd of=/dev/sdX (dove /dev/sdX è la vostra pendrive vergine)
Fatto questo potete aggiungere il plugin Flash, manualmente, andando nella directory
/casper/flash.dir/usr/lib/xulrunner-addons/plugins/
della vostra neonata pendrive ed aggiungere il file libflashplayer.so presente nella versione .tar.gz del plugin scaricabile da QUI.
E per chi ha pendrive più grandi di 1GB? Non c'è problema funziona ugualmente....
DOWNLOAD NBCAINE
PREMESSA: questo articolo è basato su un test da me condotto e mi piacerebbe avere verifica dai lettori di questo blog.
Tempo fa ho notato una stranezza, non avendo cavato ancora una soluzione, ho pensato di sottoporla al pubblico del mio blog, sottolineo che è basato su una sola prova, sulla quale non ho ancora una spiegazione, che potrei non avere per mia "ignoranza", quindi vorrei altre opinioni e/o sperimentazioni.
Detto questo passo a descrivere l'esperimento:
da Linux (senza montare nè in lettura nè in scrittura) 1) attacco una pendrive da 128Mb formattata in NTFS 2) Faccio l'immagine dd e la chiamo pen1.dd 3) faccio l'md5sum
da Windows XP: 4) attacco il pendrive da 128Mb 5) la stacco con RIMOZIONE SICURA
da Linux 6) faccio immagine dd e la chiamo pen2.dd 7) faccio md5sum 8) confronto i due md5 e noto che SONO DIVERSI.
La pendrive è vuota, la pendrive NON è stata sfogliata, la pendrive è stata solo attaccata a Windows e staccata con rimozione sicura.
A questo punto prendo le due immagini e le confronto con un programma (per windows) che si chiama HexCMP2
Cerco le differenze e tutte cadono nel cluster del file $LogFile, che è il journal di NTFS. Per esempio l'ultima differenza è nell'offset in decimale: 40203262
9) faccio mmls pen1.dd ricavo l'offset di partenza della partizione che è 32 10) fsstat -f ntfs -o 32 pen1.dd e ricavo la dimensione del cluster che è 512 11) divido 40203262 per 512=78521 che è l'offset in settori 12) ifind -f ntfs -o 32 -d 78521 pen2.dd mi tira fuori: 2-128-1 ffind -f ntfs -o 32 pen2.dd 2-128-1 mi tira fuori //$LogFile 13) istat -f ntfs -o 32 pen1.dd 2-128-1 | less istat -f ntfs -o 32 pen2.dd 2-128-1 | less
e noto che la data e l'ora sono identici, quindi il file $Logfile viene modificato, ma i suoi metadati no! Why?
RIFACCIO il procedimento SENZA la RIMOZIONE SICURA, ma staccando brutalmente la chiavetta ed ottengo gli stessi risultati, solo che l'ultima modifica è all'offset decimale: 40174590 diviso 512 =78465 Quindi meno modifiche con la rimozione bruta.
Per concludere ho notato che quando si fa la RIMOZIONE SICURA, sul display del pendrive, appare la scritta WRITE (è un pendrive con display, lettore MP3), quindi quella procedura scrive qualcosa...
PROBLEMA: Se un CTU maldestro, attacca un disco NTFS ad una stazione Windows, senza il Write Blocker, altera il disco originale, però non v'è traccia di questa alterazione, in termini di timeline....l'hash code che calcolerà sarà quello che verrà generato dall'hard disk già alterato, quindi copia ed originale avranno lo stesso hash code. In un secondo tempo, un CTP riprende il disco originale, lo attacca con Write Blocker, fa l'immagine e l'hash coinciderà con quello del CTU, dato che il CTP non ha alterato alcunchè... In soldoni, il CTU ha modificato l'originale, ma non c'è traccia di data ed ora successiva al giorno del sequestro, quindi non v'è modo di dimostrare che ha attaccato l'hd originale ad un sistema sprotetto da scrittura. Il problema è chiaramente più teorico che pratico, ci son cose peggiori in giro ;)
Per concludere, le stesse prove fatte con FATx danno MD5 identici, forse perchè FATx non è Journaled, mentre NTFS sì...e $Logfile è il journal di ntfs.
Ogni opinione, smentita, conferma è gradita !!!
ARTICOLO SU ISSA JOURNAL
Nanni Bassetti
|