Di seguito tutti gli interventi pubblicati sul sito, in ordine cronologico.
Di Admin (del 24/09/2013 @ 13:45:27, in Annunci, linkato 3370 volte)
Di Admin (del 07/09/2013 @ 10:17:10, in Annunci, linkato 5514 volte)
Oggi per diletto ho provato a capire come estrarre le chat da WhatsApp installato su un telefonino Android. Prima di tutto bisogna sfogliare le directory del telefono e giunger qui:
/sdcard/WhatsApp/Databases/msgstore.db.crypt
Il database msgstore.db.crypt è un db sqlite criptato, ma cercando su Internet si scoprono almeno due sistemi semplici e veloci per decriptarlo:
openssl enc -d -aes-192-ecb -in msgstore.db.crypt -out msgstore.db -K 346a23652a46392b4d73257c67317e352e3372482177652c
Dove la chiave è 346a23652a46392b4d73257c67317e352e3372482177652c
ed il file di output è il database in chiaro msgstore.db, che possiamo aprire e consultare con un qualsiasi programma, che legge i db sqlite, come SQL Lite database browser.
Il secondo sistema è un programma in Python, che genera un report in HTML: http://blog.digital-forensics.it/2012/05/whatsapp-forensics.html (Zena Forensics).
Le cose strane sono due: 1) Non ci sono tutti i messaggi, per esempio alcuni si fermano a fine Giugno, altri arrivano fino a Luglio, ma non fino all'ultimo messaggio. 2) Ho provato a cancellare qualche messaggio e nonostante sul blog di Zena Forensics dicano che non è possibile recuperare i messaggi cancellati, dopo il decrypting quei due messaggi sono ancora visibili. Analizzando i contenuti delle tabelle dell'SQL Lite DB msgstore.db, non noto nemmeno dei flag che indichino se i messaggi sono i status di deleted o active....
Quindi chiedo alla rete, qualcuno ne sa qualcosa?
UPDATE 03/Agosto/2013
Da un contributo di un utente di CFI si è giunti a conclusione che il msgstore.db.crypt è solo un db di backup non completo, mentre il vero db è msgstore.db ed è in chiaro e raggiungibile solo col telefono rootato o col dump fisico con strumenti come UFED. /data/data/com.whatsapp/database
Era immaginabile, ma speravo che per una volta non vi fosse bisogno di esser root, ma bastava il db raggiungible da user.
Bye Nanni Bassetti - http://www.nannibassetti.com
Sono stato ospite come relatore ed ho partecipato anche alla valutazione dei risultati del gioco di simulazione su un'acquisizione ed analisi di un pendrive. Il tutto si è tenuto presso la Scuola Ispettori e Sovrintendenti della Guardia di Finanza, in due giornate del convegno di studi sul tema: “Computer Forensics”. L'aula era piena, mai visto tanti finanzieri tutti insieme , ed attenta, son stato trattato benissimo ed è stata un'esperienza elettrizzante, grazie alla GdF per il loro lavoro e grazie agli organizzatori per l'onore ricevuto. Nanni Bassetti Per saperne di più: http://www.inabruzzo.com/?p=159827
Di Admin (del 20/03/2013 @ 08:54:03, in Annunci, linkato 6521 volte)
Salve a tutti, per chi segue questo blog segnalo gli eventi "interessanti" che mi coinvolgono per Marzo/Aprile 2013
- 18/Marzo/2013 rilasciato Caine 4.0 "Pulsar" http://www.caine-live.net
- 21 e 22 Marzo/2013 - Talk sulla computer forensics c/o la "Comando Scuola Ispettori e Sovraintendenti" - L'Aquila.
- 8-11/Aprile/2013 - Docenza per un corso di 4gg c/o HP Roma.
DISCOVERING TRIBLER FOR FORENSIC EXAMINATION By Nanni Bassetti – http://www.nannibassetti.com
This is an OPEN DOCUMENT written to be improved by the readers, because I wrote it using only experiments on this program and its structure.
Tribler is a famous new bittorrent client, it is open source, it is different from the others bittorent clients because it is a peer-to-peer client, but maybe Wikipedia could help me to explain it better:
From: http://en.wikipedia.org/wiki/Tribler
"Tribler is an open source peer-to-peer client with various features for watching videos online. The user interface of Tribler is very basic and focused on ease of use, instead of including features.[2] Tribler is based on the BitTorrent protocol and uses an overlay network for content searching.[3] Due to this overlay network Tribler does not require an external website or indexing service to discover content.[4] Tribler features include: video-only searching, experimental video streaming, and an integrated video player. Tribler is available for Linux, Windows and OS X."
The scope of this paper is to make a first classification of the most interesting things we can consider to find out the downloaded files with Tribler.
We can examine these files (in a Windows OS):
1) C:\Program Files (x86)\Tribler\triblere.exe.log or c:/users/USERNAME/tribler.exe.log
2) C:\Users\USER_NAME\Desktop\TriblerDownloads
3) C:\Users\USER_NAME\AppData\Roaming\.Tribler\recent_download_history (HERE WE CAN FIND WHERE IS THE DOWNLOAD DIRECTORY)
4) C:\Users\USER_NAME\AppData\Roaming\.Tribler\sessconfig.pickle (Tribler settings)
Then there is a directory named:
C:\Users\USER_NAME\AppData\Roaming\.Tribler\seeding_manager_stats
where we can find files named with an hash code like:
f4aed57f74ac8dX4af3fd1ae6b5XX1eX2b881692.pickle
if we open it, we can see something like this:
(dp1 S'time_seeding' p2 F59.470001028611229 sS'total_down' p3 L1051454L sS'version' p4 I1 sS'total_up' p5 L0L s.
Where 1051454 is the size of the file in bytes the user downloaded.
Then, we can go into
C:\Users\USER_NAME\AppData\Roaming\.Tribler\dlcheckpoints
and find for the same file name f4aed57f74ac8dX4af3fd1ae6b5XX1eX2b881692.pickle
and open it with a text editor like Notepad++, we can find there the file name the user downloaded, e.g. “johndoe.pdf’
So, now we can cross the filename we found there with the file name we found into the C:\Users\USER_NAME\Desktop\TriblerDownloads
If the user deleted that file we can try to retrieve it by data carving or deleted file recovering...
We can affirm that the file “johndoe.pdf” has been downloaded by that computer for sure, because these tracking files and because the tribler.exe.log.
We have others evidences to affirm that “johndoe.pdf” has been downloaded, we can examine the SqlLite database
C:\Users\USER_NAME\AppData\Roaming\.Tribler\sqlite\tribler.sdb
We can look into the table MyPreference for the downloaded files, the table is:
torrent_id |
destination_path |
progress |
creation_time |
click_position |
reranking_strategy |
451 |
c:\etc\etc |
100 |
1359531172 |
-1 |
1 |
The creation_time is in Unix epoch time UTC the ending time of the download.
Unix Epoch time conversion: 1359531172 --> 2013-01-30 07:32:52. UTC
So, if we query the table “Torrent”:
we can find the record by torrent_id = 451 and we’ll see many interesting data about the file has been downloaded at 100% (as we can see in the field “progress” of the MyPreference table), its name and others informations.
We can see the starting creation time (field insert_time of the Torrent table) in Unix time and we can convert it in human timestamp in UTC.
Unix Epoch time conversion: 1359531111 --> 2013-01-30 07:31:51. UTC
We can say that the download started at 07:31:51 and ended at 07:32:52 on 2013-01-30.
We can use SQL Spy to open tribler.sdb
http://www.yunqa.de/delphi/doku.php/products/sqlitespy/index
and a Unix Time converter online http://www.onlineconversion.com/unix_time.htm or DCode http://www.digital-detective.co.uk/freetools/decode.asp
Salve a tutti, premetto che ho sempre sostenuto Wikipedia sia come progetto, sia come idea e come affidabilità, però ultimamente mi sono imbattuto nel suo "lato oscuro", ossia ho toccato con mano la gestione delle voci, chi e come le gestiscono ed ne sono uscito abbastanza allibito. Tutto inizia con la richiesta di un utente/admin (non so bene che ruolo avesse), che richiede la cancellazione della voce dedicata a CAINE, perchè secondo lui è una distro "semi-amatoriale sconosciuta e con poche rilevanze su Google" e prontamente un admin la mette in "cancellazione semplificata", se entro 7 gg nessuno si oppone, la voce va cancellata. E così successe! In seguito me ne sono accorto ed ho scritto e brigato al fine di riproporre la voce CAINE su Wikipedia, visto che era lì dal 2008, era stata modificata innumerevoli volte e nessuno aveva mai fiatato, oltre che CAINE dal 2008 ad oggi ne ha fatta di strada.... Ma riflettiamo anche sulla segnalazione dell'utente: " "semi-amatoriale sconosciuta e con poche rilevanze su Google" - questo già denota la superficialità di chi segnala, non è stato in grado di cercare su Google, caine+linux (senza virgolette), non ha cercato e non si è informato, idem per l'admin che ha provveduto alla cancellazione, inoltre un utente anonimo si era opposto, ma in quanto anonimo non aveva valenza. Insomma, si riapre la discussione sulla voce, sparo tutte le mie cartucce, cerco di far capire che cos'è CAINE, che importanza ha nel panorma della computer forensics (informatica forense) internazionale, metto bibliografia internazionale, links a siti di riviste italiane ed estere, ecc. ecc. Cosa succede? Una serie di obiezioni senza logica, competenza, approfondimento, niente, solo piccole frasi sparate lì, tipo: " io non l'ho mai sentita, quindi da cancellare" - Ah bhè se non l'ha mai sentita uno che magari si occupa delle Telenovelas brasiliane...." non ci sono fonti per dimostrare l'enciclopedicità" - e quelle che ho inserito? Ed i libri? E le centinaia di migliaia di voci su Google?" Distrowatch non la segnala tra le prime 100" - Ma LOL Caine è tra le prime 200 distro su Distrowatch e quando viene rilasciata la new release sale nei primi 20, come tutte le classifiche del mondo, dai dischi ai film.Poi, visto che ho "leggermente intuito" che su Wikipedia Italia, non c'è nessuno che abbia mai sentito nominare nemmeno lontanamente l'informatica forense, ho lanciato un appello a tutti quelli che non volessero che la voce CAINE fosse eliminata dall'enciclopedia online, che, a detta di uno di questi "utenti/admin", non è molto ferrata sui temi informatici.....ORRORE! Siamo in Italia il Paese do' sole, a'pizza e u'mandolino, e l'enciclopedia informatica per eccellenza è gestita da tutti umanisti....RIDICOLO!!! Ma questo non è fonte di autocritica, anzi peggio...non sanno una mazza di un argomento e si ergono a censori, solo perchè LORO non hanno mai sentito parlare di CAINE, ma pensa un po' che metrica scientifica!!! Bene, il fatto che qualche estimatore di Caine è intervenuto nella discussione ha scatenato l'inferno, ci hanno accusato di essere la stessa persona con nickname diversi, indovinate con quale mezzo tecnologico futuristico? Lo stesso indirizzo IP, che ci geolocalizzava nella stessa città (sbagliata tra l'altro) ma STRALOL E ROTFL , che poi non era possibile, visto che avevamo solo in comune lo stesso gestore ADSL, quindi tutti quelli che usano quel gestore a Bari, sono a casa mia, ho una casa grandisssima!!! Poi è vietato il "meatpupping", ossia invitare qualcuno a sostenere la propria tesi in una discussione, ma se non c'è nessuno che ne capisce posso far testimoniare qualcuno competente? Alla faccia dell'enciclopedia collaborativa!!! Insomma, morale della favola, non so se è così per Wikipedia English ma so che Wikipedia Italia è gestita malissimo a mio parere, gente incompetente in una materia che si batte per la cancellazione di voci di cui non ha contezza alcuna, non c'è volontà d'approfondimento, non ci si confronta sul merito, ma si sparano sentenze lapidarie, senza nemmeno SFORZARSI di controllare ciò che si afferma, se si parla di una voce innovativa, si pretende che l'inventore debba fornire fonti esterne per scrivere anche la propria storia, cioè il padre di una cosa non può scriverlo perchè è lui stesso che lo scrive, ma va? E se non è l'autore stesso a raccontare come è nato un progetto, chi lo deve fare? Concludo facendo una riflessione, se mi fossi chiamato John Smith forse ero più credibile per gli "umanisti" che gestiscono Wikipedia Italia? Appena abbiamo qualcosa d'italiano che ha un minimo di successo al mondo invece di supportarlo lo dobbiamo affossare, perchè italiano e quindi " chissà che gran cazzata sarà"? Giusto per far capire, a chi leggerà questo post, se Caine non è encilopedico e se la bibliografia è scarsa o poco autorevole, vi linko la mia SandBox, ditemi voi se è una distro conosciuta solo da 4 gatti e qualora lo fosse, come mai è presente in ben 5 LIBRI di cui 4 stranieri, molte riviste internazionali, blog, forum ed è tra i moduli formativi di una ceritficazione internazionale? Come mai? Tutti amici miei? http://it.wikipedia.org/wiki/Utente:NanniB/Sandbox Invito Wikipedia Italia a costituire dei pool specializzati per ogni singola disciplina e non che chi si occupa di poesia parli sull'informatica e viceversa.
Qui la DISCUSSIONE
Salve a tutti, la UgoLopez.it ha organizzato un corso di digital forensics tutto in FAD (Formazione A Distanza) su una magnifica piattaforma di e-learning. E' un bell'esperimento per vedere se c'è un appeal su questo tipo di offerta formativa, specialmente sulla computer forensics.
Il corso: modalità di svolgimento Lo scopo del corso è quello di fornire delle solide fondamenta per intraprendere attività nel mondo dell'investigazione digitale, materia in continua trasformazione e divenire. Il corso è pensato quindi per professionisti del settore informatico interessati ad approfondire le proprie conoscenze sulle procedure teoriche e pratiche di Informatica Forense. Il corso si svolgerà in e-learning su piattaforma dedicata sincrona. L'interazione tra il docente e gli studenti sarà di tipo audio/video, con possibilità di condivisione del desktop e di controllo remoto e, per gli studenti, di rivolgere delle domande alla fine di ogni lezione. Una web-chat sarà inoltre disponibile per eventuali comunicazioni testuali. All'interno della piattaforma sarà disponibile il materiale didattico (lezioni, esercitazioni, etc.) e sarà possibile un confronto asincrono attraverso forum dedicato. I video delle lezioni, inoltre, saranno disponibili on-line a tutti gli iscritti immediatamente dopo le lezioni.
Pre-requisiti per la partecipazione: Buona conoscenza del sistema operativo Windows, delle basi di Linux e dei concetti base sui File System
Maggiori info QUI
Di Admin (del 15/12/2012 @ 09:46:42, in CHI SONO, linkato 2798 volte)
- Partecipazione alla trasmissione televisiva "Quarto Grado" su Rete 4 del 13/Gen/2012
- Partecipazione alla trasmissione televisiva "Quarto Grado" su Rete 4 del 06/Aprile/2012
- Partecipazione alla trasmissione televisiva "Quarto Grado" su Rete 4 del 02/Novembre/2012
- Partecipazione alla trasmissione televisiva "La Vita in diretta" su RAI 1 del 06/Dicembre/2012
- Partecipazione alla trasmissione televisiva "I Fatti Vostri" su RAI 2 del 06/Dicembre/2012
- Partecipazione alla trasmissione televisiva "I Fatti Vostri" su RAI 2 del 24/Gennaio/2013
- Partecipazione alla trasmissione televisiva "I Fatti Vostri" su Rai 2 del 11/Marzo/2013
Di Admin (del 14/12/2012 @ 19:35:24, in Annunci, linkato 2405 volte)
|