Di seguito tutti gli interventi pubblicati sul sito, in ordine cronologico.
 
 

Oggi per diletto ho provato a capire come estrarre le chat da WhatsApp installato su un telefonino Android.
Prima di tutto bisogna sfogliare le directory del telefono e giunger qui:

/sdcard/WhatsApp/Databases/msgstore.db.crypt

Il database msgstore.db.crypt è un db sqlite criptato, ma cercando su Internet si scoprono almeno due sistemi semplici e veloci per decriptarlo:

openssl enc -d  -aes-192-ecb -in msgstore.db.crypt -out msgstore.db -K 346a23652a46392b4d73257c67317e352e3372482177652c

Dove la chiave è
346a23652a46392b4d73257c67317e352e3372482177652c

ed il file di output è il database in chiaro msgstore.db, che possiamo aprire e consultare con un qualsiasi programma, che legge i db sqlite, come SQL Lite database browser.

Il secondo sistema è un programma in Python, che genera un report in HTML:
http://blog.digital-forensics.it/2012/05/whatsapp-forensics.html (Zena Forensics).

Le cose strane sono due:
1) Non ci sono tutti i messaggi, per esempio alcuni si fermano a fine Giugno, altri arrivano fino a Luglio, ma non fino all'ultimo messaggio.
2) Ho provato a cancellare qualche messaggio e nonostante sul blog di Zena Forensics dicano che non è possibile recuperare i messaggi cancellati, dopo il decrypting quei due messaggi sono ancora visibili.
Analizzando i contenuti delle tabelle dell'SQL Lite DB msgstore.db, non noto nemmeno dei flag che indichino se i messaggi sono i status di deleted o active....

Quindi chiedo alla rete, qualcuno ne sa qualcosa?

UPDATE 03/Agosto/2013

Da un contributo di un utente di CFI si è giunti a conclusione che il msgstore.db.crypt è solo un db di backup non completo, mentre il vero db è msgstore.db ed è in chiaro e raggiungibile solo col telefono rootato o col dump fisico con strumenti come UFED.

/data/data/com.whatsapp/database

Era immaginabile, ma speravo che per una volta non vi fosse bisogno di esser root, ma bastava il db raggiungible da user.

Bye
Nanni Bassetti - http://www.nannibassetti.com

Il 19/settembre/2013 sarò relatore qui:

http://www.aica2013.it/programma.htm

Il 5 Ottobre 2013 sarò tra i relatori (insieme a Paolo Reale ed al Prof. Roberto Cusani) di questo workshop organizzato dalla Italdetectives presso l'Università La Sapienza a Roma:

http://www.italdetectives.org/index.php?option=com_content&view=article&id=219:ict-in-ambito-forense-dai-cellulari-al-computer&catid=9&Itemid=108

Iscrizioni e programma completo qui:
http://www.opensourceday.org/2013/?mid=3

In particolare:
Percorso Forensics (Aula 0)

10:00 –  10:15 Introduzione conferenzieri e progetti italiani D.E.F.T. e CAINE
(Pubblico Ministero Procura Udine Sost.Proc. Dott. Andrea Gondolo)
10:30 – 11:15: Wibbly wobbly timey wimey stuff. Uso delle timeline
nell'analisi forense (Dott. Davide Gabrini aka Rebus)
11:15 – 11:45: Coffee break
11:45 – 12:30: Mobile Forensics con strumenti Open Source (Dott. Paolo
Dal Checco)
13:30 – 14:15: OS Intelligence (Dott. Alessandro Rossetti aka Sitticus)
14:30 – 15:15: Il problem solving nella digital forensics tramite
strumenti open source (Dott. Nanni Bassetti)

iscrivetevi numerosi (anche per avere il vostro attestato di partecipazione)

 Il 19 Novembre parlerò su "l’utilizzo di trucchi per non essere rintracciati in rete" a Bari, chi volesse può iscriversi per un talk su un argomento a sua scelta qui per le tapper di Bari, trento e Genova.

Ieri durante una lezione, presso la scuola di GdF di Ostia, sull'uso del Cellebrite UFED e Physical Analyzer (thanks to Luca Governatori), insieme a tutta la classe (in gambissima), abbiamo fatto un po' di reverse engineering usando la visualizzazione esadecimale di Physical Analyzer del database della famosa app di messaggistica WhatsApp per Android, dato che il P.A. non visualizza i messaggi cancellati di WhatsApp, almeno su Android 4.1.2 del Samsung S3.

Il database è di tipo SqlLite 3.0 e si trova in:
\data\com.whatsapp\databases\msgstore.db  

Prima dell'acquisizione fisica tramite UFED Touch del mio Samsung S3 con Android  4.1.2, ho provveduto a cancellare due (il primo ed il terzo) messaggi di una conversazione dal mio WhatsApp, i due in figura:

Come funziona il Bitcoin Mining, spero di esser riuscito a descriverlo in modo semplice e comprensibile 
http://www.tomshw.it/cont/articolo/bitcoin-da-dove-vengono-le-monete-senza-banche/51653/1.html#.UqrDpfTuI8o

Il 30 Gennaio sarò a Conegliano (Tv) per un interessante conferenza sull'uso della rete da parte dei minori e per render più consepevoli i genitori, che hanno a che fare con i loro "nativi digitali".
Nel volantino ci sono tutti i dettagli:
http://www.cisiamo.it/download/Protetti_in_Rete_volantino.pdf

CAINE 5.0 "Blackhole" is out!




















Kernel 3.8.0-35
Based on Ubuntu 12.04.3 64BIT - UEFI/SECURE BOOT Ready!

Caine 5.0 su pendrive può bootare su Uefi/Uefi+secure boot/Legacy Bios/Bios.
Caine 5.0 su DVD può bootare su Legacy Bios/Bios.

SystemBack è il nuovo installer. Windows side è Win-Ufo.
http://www.caine-live.net/

Il 23/Maggio/2014 si terrà un evento contro le bufale scientifiche che girano sul web e personalmente relazionerò su quelle informatiche.
È un piccolo evento formativo ma che reputo importante per la gravità dei messaggi forvianti e privi di fondamento scientifico che girano in rete.