Il tempo libero serve anche a sperimentare e quando si ha la passione per la computer forensics, son dolori....

Tramite Nigilant32 (presente nella parte Live di Helix 2) faccio l'immaginedella Ram del mio PC, mentre è in uso, e la salvo sul file RAM.IMG.

ram.img - dump della mia ram 1.3Gb

Tramite editor esadecimale, vedo che tra le tante stringhe, contenute nel file, ne prendo una a casaccio per fare il mio test, la stringa è "awatarami".
Cerco con strings e il parametro -t d (che mi genera anche l'offset in decimale) ottenendo:

Continua a leggere...

Ciao a tutti,

ecco il mio nuovo nato FKLook trattasi di uno script bash per Linux, che vi permette di cercare le keyword in una directory piena zeppa di file e copiare tutti quelli che la contengono in una directory di vostra scelta, in modo tale da avere un repository di file selezionati in base alla keyword.

Testatelo!

ciao

Oggi sono molto contento, perchè sia il Linux Day di Reggio Calabria dove hanno partecipato i CFIini:

Gianni Amato, Loris Borgese, Achille Foti

è andato benissimo, da quel che mi dicono, vi è stata una platea interessata ed interattiva...

Il Linux Day di Modena con:
Nanni Bassetti, Denis Frati, Giancarlo Giustini e Giordano Lanzi
è andato lo stesso benissmo, abbiamo conosciuto il professor Michele Colajanni, ...

Continua a leggere...

Il mio amico e collega di CFItaly, Denis Frati, curerà il lato tecnico di un corso di introduzione alla Computer Forensic in quel di Torino.

Annuncio l'uscita di CAINE v0.3

- Aggiunti: libewf-20080501, afflib-3.3.4.
- Aggiornato TSK 3.0 (ricompilato).
- Sistema aggiornato con l’ultimo kernel.
- Corretto un bug a SFDumper di adattamento al sistema CAINE

Adesso CAINE ha lo Sleuthkit ed Autopsy ricompilati per il riconoscimento delle immagini AFF e formato ENCASE.

http://www.caine-live.net/page5/page5.html

Per divertirmi mi sono chiesto, cosa succederebbe ad un'immagine JPG o ad un MP3 se inserissi del codice esadecimale o del testo al loro interno, senza un orientamento ben preciso, insomma una steganografia manuale.
Quindi ho deciso di provare a tradurre in esadecimale una frase:

$ echo "ciao mondo! Uffa sempre questa come frase esempio :)" | xxd -p

6369616f206d6f6e646f2120556666612073656d70726520717565737461
20636f6d65206672617365206573656d70696f203a290a

Ottenendo la conversione in esadecimale della frase, poi aprendo con un editor esadecimale una JPG ho provato ad incollare il suddetto codice, partendo dall'offset 11 (in decimale), salvo l'immagine modificata e provo a visualizzarla...tutto ok! L'immagine non presenta alterazioni visibili. :)

Se faccio l'operazione inversa:
$ echo "6369616f206d6f6e646f2120556666612073656d70726520717565737461
20636f6d65206672617365206573656d70696f203a290a" | xxd -r -p
ciao mondo! Uffa sempre questa come frase esempio :)

Quindi ho pensato di automatizzare il procedimento di steganografia ed è nato bsteg.sh che riporto qui:

Ieri 16/Nov/2008, ho scaricato la neonata Deft 4, Linux Live Forensics distro.
Appena finito di masterizzare la ISO, provo subito a sfogliare il CD-Rom e noto la cartella Deft-Extra, che contiene molti tools per la computer forensics avviabili sotto Windows, questa è una nota positiva, dal mio punto di vista 

Passo al boot da CD e subito mi appare la prima novità, infatti nella schermata di avvio, si apre automaticamente la tendina con la scelta della lingua, cosa molto comoda, poichè può capitare, che nella fretta di avviare una live distro, si tralascia la scelta della lingua, quindi i progettisti hanno pensato bene di facilitare quest'operazione all'utente, altra nota positiva (adoro le comodità).

La distro si avvia sulla console mostrando il prompt di Linux, altra cosa ben fatta, perchè se non si ha necessità della GUI (Graphic User Interface), è inutile farla caricare, al massimo, digitando deft-gui, la si può lanciare in un secondo momento.

Lancio la deft-gui, il primo impatto è buono e veloce, perchè c'è un bello sfondo scuro, che mette in evidenza tutte le icone dei tools, presenti sul Desktop, forse dà un pò l'idea di disordine, ma forse può essere più comodo per qualcuno, dato che si hanno tutti i tools in vista ed a portata di click.
Non esiste un sottomenù a tendina che accorpa i tools forensi, quindi tutti sono raggiungibili dal Desktop, ma qui noto subito che manca AIR e che l'unico tool di acquisizione (GUI) è Guymager, qui avrei qualche perplessità, perchè, il caro vecchio AIR, è un'interfaccia più intuitiva e più conosciuta, comunque niente di grave, Guymager è un software validissimo.

Lancio la terminal window e provo a digitare:

mmls -i list

e noto che lo SleuthKit 3.0 NON è stato ricomplito insieme alle Afflib e alle EWFlib, infatti riconosce solo le immagini raw e split, forse questa è stata una dimenticanza, (a quanto ne so l'unica distro che, attualmente, ha il TSK 3.0 ricompilato è CAINE)....

Continua a leggere...

Ci è stato segnalato qui, che Caine v.03 ha un bug poichè se lanciata sui sistemi Linux, scrive nella partizione del file di SWAP, questo altera il disco sorgente...
Grazie a questa segnalazione, il buon Giustini, ha già provveduto alla correzione del bug e dopo un pò di testing, su altre features, uscirà a breve la release 0.4 di CAINE.
Risolto questo, ricordo che CAINE è tutta aggiornata e ci saranno anche altre novità ;)

Dopo la segnalazione del bug di Caine, ci siamo tutti attivati per patcharlo il più presto possibile, ma Giancarlo Giustini ha fatto veramente miracoli....nonostante queste belle parole dette dal solito ignorante di turno, che non sa rispondere tecnicamente, ma spara insulti a vanvera....che tristezza....ma andiamo avanti.

Qui si può visionare un simpatico video, nel quale si denota come usando altre distro di controllo, il bug sussiste non solo in Caine:

video (pubblicato da Giancarlo su CFI mailing list il 28/11/2008)

Da questa osservazione il bravo ricercatore dell'Università di Modena si è dato da fare e ha rilevato risposte come questa:

"The correct way to stop swap from being activated by swapon -a is by setting it to noauto, the ro mount parameter really doesn't have anything to do with it. So I think you're right, no bug, only misunderstanding."

Quindi NON è un bug di Linux ma è una configurazione errata, bhè solo chi non lavora non sbaglia e quindi l'errore va capito e perdonato, anzi ben venga la cosa che, grazie ad Internet, si risolvano i problemi così velocemente, anche grazie allo scambio di idee....

E per concludere con un sorriso, cito il testo di qualcuno postato sulla lista di CFI ,che ha scritto questa simpatica frase:

"poi se non mettere i parametri in una riga di comando o in un file di configurazione è un bug di linux......sarebbe interessante chiedere a Torvalds come mai non ha mai corretto
un simile bug.....  ;-P"

La vostra affezionatissima merdaccia!

Ho appena finito di leggere un interessante articolo di Mark Whitteker su ISSA Journal, che riassume alcune tecniche di base dell'anti-forensics, trovo questo genere di articoli molto costruttivi, perchè non dicono niente di nuovo, ma servono ad accorpare e sintetizzare dei concetti, cosa che è utile, specialmente in un settore così ricco di tecniche da dover ricordare.

Cos'è l'anti-forensics? Si tratta di tutti quegli escamotages, che servono a mettere in difficoltà i "digital investigators", in modo da riuscire ad occultare o a rendere estremamente diffcile il reperimento di evidenze digitali.

I tipi di anti-forensics possono suddividersi in tre grandi branche:

• Data Hiding (occultare i dati)
• Tool's weakness (debolezze note dei tool per la computer forensics)
• Investigator's weakness (debolezza dell'investigatore)

DATA HIDING

I dati possono essere nascosti in moltissimi modi e non solo sull'hard disk in esame, ma anche su siti web di storage, qui potete trovare una trattazione di Mario Pascucci in merito ad alcune tecniche, ma esaminiamo quelle più comuni e conosciute:

Continua a leggere...