Di seguito tutti gli interventi pubblicati sul sito, in ordine cronologico.
Oggi è online sul sito:
http://www.caine-live.net la nuova release di CAINE:
- Rilasciata la nuova versione 0.4! - BUG dello swap risolto - Novita! Versione 0.4 in inglese, con formattazione del rapporto finale in inglese e in italiano
Siamo ormai nel 2009, tutto si è evoluto, tutto è veloce e potente, ma la Giustizia italiana? Quella rimane lenta, lentissima, ci sono cause iniziate nel 1998, che devono ancora finire e che magari richiedono ancora delle perizie. Come attrezzarsi? Potremmo trovarci di fronte a macchine Intel 386 se non 286, senza porte USB, senza lettori di CD-Rom, senza BIOS che permettano il boot da CD-ROM, con pochissima RAM, l'unica cosa positiva sarebbe la dimensione dell'hard disk da repertare, che probabilmente sarebbe di pochi megabytes.
A volte, anche le macchine "moderne", possono avere dei problemi di incompatibilità, con le Linux Live distro, perchè qui stiamo, chiaramente, parlando di usare una Live, per svariati motivi, e non di staccare l'hard disk e collegarlo alla nostra workstation, che sarebbe la soluzione ottimale per ovviare ad ogni questione.
Quindi nel nostro zainetto da bravo consulente tecnico informatico non dovrebbero mancare mai, secondo la mia personalissima classificazione, live distro come:
LIVELLO ALTO - Boot da Cd-Rom, ideali per i sistemi moderni, dotate di ottime interfacce grafiche.
Helix 2, CAINE, FCCU 12.1, ForLex, Deft 4.1
LIVELLO MEDIO - boot da CD-ROM - sono più leggere e possono girare senza interfaccia grafica.
FCCU 11 o 10, F.I.R.E., IRItaly, PHLAK, Knoppix-STD, DSL
LIVELLO BASSO - boot da Floppy - partono da floppy disk e girano sui dinosauri informatici
SMART Linux, MuLinux, Floppix
Inoltre non sarebbe male portarsi sempre dietro il cd di GPArted e un rescue cd come Trinity, SystemRescueCd e un linux net-oriented come BackTrack.
Troppe? ;) Bhè sono convinto che nei comments ne appariranno altre
Di Admin (del 13/12/2008 @ 08:09:11, in Annunci, linkato 2267 volte)
Non so perchè, ma mi sono dedicato all'evoluzione di BrutalStego, ho scritto, infatti, un nuovo bash script, che fa realmente una steganografia di un testo, lo cripta in AES256 e lo nasconde in esadecimale nel file vettore.
La cosa che mi interessava era poter criptare il testo, nasconderlo e poterlo rilevare tramite immissione di password, insomma un tool di steganografia reale!
Strumenti usati: grep, awk, dd, bc, wc, xxd, openssl
In sostanza funziona così: si inserisce il nome del file vettore, si inserisce il nome del nuovo file (quello contenente il messaggio segreto), si inserisce il messaggio ed infine si inserisce la password. Dopo questi input, il programmino cripta con OpenSSL in AES256 il messaggio segreto, poi lo converte in esadecimale e lo posiziona all'interno del nuovo file vettore. L'ho testato sulle JPG e sugli MP3 e non si nota alcuna perturbazione. Rilanciando il programmino, si può andare a svelare il messaggio segreto, inserendo il nome del file vettore e la password
Ecco lo script:... Continua a leggere...
Il bravo Mario Pascucci ha pubblicato la soluzione al suo test/esercizio di computer forensics QUI :)
Il caro amico Denis Frati ha risolto meglio di tutti i partecipanti...quindi COMPLIMENTI!!!!
Ma vediamo come ho agito io, superficialmente e non dedicandomi a fondo, peccato, ma quando c'è agonismo mi faccio prendere dalla fretta , un difetto che mi porto dietro da quando ero piccolo, mi sa che mi converrebbe un corso di Yoga
Ok, vediamo le mie soluzioni:
Lancio FTK Imager da Windows è vedo subito che: La partizione visibile si chiama: data-hide seriale 48FD-A890 img_0085.jpg img_0090.jpg img_0112.jpg img_0133.jpg linux_virus.pdf ... Continua a leggere...
Dall'esercizio proposto da Mario Pascucci (QUI), mi è venuta l'ispirazione per scrivere questo scriptino, che non fa altro che cercare, tramite sigfind, le signature 55AA delle partizioni FATx, e poi dagli offset, ricavati dalla moltiplicazione del numero di settore, trovato da sigfind, per 512 bytes, ricava il valore dei byte 32,33,34,35 delle FATx trovate e li converte in Big Endian, per poi calcolare la lunghezza totale della partizione in settori. Infine, crea tutte le immagini dd contenenti le possibili partizioni nascoste.
Sicuramente è grezzo, però abbastanza veloce, su 2Gb di pen-drive con tre strati, ci ha messo poco più di 20 minuti.
Mi piacerebbe renderlo multi File System, ma c'è da studiarsi bene i bytes che contengono i total sectors, dei vari file systems....e poi si potrebbe espanderlo con più features...comunque è un inizio ;)
#!/bin/bash # MultiFat detector by Nanni Bassetti - http://www.nannibassetti.com # It runs in this way: sh multiFat.sh disk.dd fat (e.g.) file=$1 fs=$2 # looking for the signatures date sigfind -t $fs $file > sigs.txt # taking only the sectors for i in $(cat sigs.txt | awk -F "Block:" '{print $2}'|awk '{print $1}') do offset=$(( $i*512 )) j=$(( j+1 )) start_byte_fat_len=$(echo $offset + 32 | bc) # controlling the word "FAT" inside the target partition fat_flag=$(xxd -s $offset -l 512 $file| grep -i FAT) if [ "$fat_flag" ] then # extracting bytes 32-35 from FAT xxd -s $start_byte_fat_len -l 4 $file | awk -F ":" '{print $2}' | xxd -p -r >lung.bin #converting in big endian dd if=lung.bin of=l1 skip=3 count=1 bs=1c dd if=lung.bin of=l2 skip=2 count=1 bs=1c dd if=lung.bin of=l3 skip=1 count=1 bs=1c dd if=lung.bin of=l4 skip=0 count=1 bs=1c cat l1 l2 l3 l4 > l.dat rm l1 rm l2 rm l3 rm l4 rm lung.bin #calculating the partition length len=$(cat l.dat|xxd -p | tr [:lower:] [:upper:]) # converting in decimal len2=$(echo "obase=10; ibase=16; $len" | bc) dd if=$file of=hidden$j.dd skip=$i count=$len2 bs=512 rm l.dat fi done ls -l *.dd date exit
Non scagliate i pomodori...è solo un piccolo esercizio ;) ! (Test sono graditi)
QUI c'è l'evoluzione del programmino...
Ecco l'evoluzione di MultiFat, questo script permette di trovare vari file system annidati, di tipo FAT12, FAT16,FAT32, NTFS e EXT2/3 ;)
Si lancia così sh multifs.sh fat disco.dd oppure /dev/sdx; per NTFS: sh multifs.sh ntfs disco.dd, per ext2: multifs.sh ext2 disco.dd per ext3: multifs.sh ext3 disco.dd
#!/bin/bash # MultiFS detector and extractor by Nanni Bassetti - Blog: http://www.nannibassetti.com/dblog WEB Site: http://www.nannibassetti.com # It can detect and extract hidden file systems and partitions from the mass memory support. # It runs in this way e.g.: sh multifs.sh fat disk.dd or multifs.sh fat /dev/sda # It works only on ntfs,fat12,fat16,fat32, ext2,ext3. # Important things: # FATx: sector size; bytes 11-12 # ext2/3: Block size (saved as the number of places to shift 1,024 to the left); bytes 24-27 # NTFS: sector size bytes; from 11 to 12 # ReiserFs: sector size bytes; 12-13
file=$2 # file or dev fs=$1 # file system date # looking for the signatures sigfind -t $fs $file > sigs.txt # FAT case if [ "$fs" = "fat" ] then # taking only the sectors for i in $(cat sigs.txt | awk -F "Block:" '{print $2}'|awk '{print $1}') do offset=$(( $i*512 )) j=$(( j+1 )) # controlling the word "FAT" inside the target partition fat_flag=$(xxd -s $offset -l 512 $file| grep -i FAT) if [ "$fat_flag" ] then # looking for the sector size start_bs=$(echo $offset + 11 | bc) xxd -s $start_bs -l 2 $file | awk -F ":" '{print $2}' | xxd -p -r >bs.bin #converting in big endian dd if=bs.bin of=b1 skip=1 count=1 bs=1c dd if=bs.bin of=b2 skip=0 count=1 bs=1c cat b1 b2 > bs.dat rm b1 rm b2 rm bs.bin #calculating the sector size length lenbs=$(cat bs.dat|xxd -p | tr [:lower:] [:upper:]) # converting in decimal bs=$(echo "obase=10; ibase=16; $lenbs" | bc) # check if byte 32-35 are 0 then the fat type is fat12 start_byte_fat_len=$(echo $offset + 32 | bc) check_fat12=$(xxd -s $start_byte_fat_len -l 4 $file | awk -F ":" '{print $2}' | xxd -p -r) if [ ! "$check_fat12" ] then echo "File System chosen: FAT12" start_byte_fat_len=$(echo $offset + 19 | bc) # extracting bytes 19-20 from FAT xxd -s $start_byte_fat_len -l 2 $file | awk -F ":" '{print $2}' | xxd -p -r >lung.bin #converting in big endian dd if=lung.bin of=l1 skip=1 count=1 bs=1c dd if=lung.bin of=l2 skip=0 count=1 bs=1c cat l1 l2 > l.dat rm l1 rm l2 rm lung.bin #calculating the partition length len=$(cat l.dat|xxd -p | tr [:lower:] [:upper:]) # converting in decimal len2=$(echo "obase=10; ibase=16; $len" | bc) dd if=$file of=hidden$j.dd skip=$i count=$len2 bs=$bs rm l.dat ls -l *.dd else echo "File System chosen: $fs" echo "Sector size: "$bs start_byte_fat_len=$(echo $offset + 32 | bc) # extracting bytes 32-35 from FAT xxd -s $start_byte_fat_len -l 4 $file | awk -F ":" '{print $2}' | xxd -p -r >lung.bin #converting in big endian dd if=lung.bin of=l1 skip=3 count=1 bs=1c dd if=lung.bin of=l2 skip=2 count=1 bs=1c dd if=lung.bin of=l3 skip=1 count=1 bs=1c dd if=lung.bin of=l4 skip=0 count=1 bs=1c cat l1 l2 l3 l4 > l.dat rm l1 rm l2 rm l3 rm l4 rm lung.bin #calculating the partition length len=$(cat l.dat|xxd -p | tr [:lower:] [:upper:]) # converting in decimal len2=$(echo "obase=10; ibase=16; $len" | bc) dd if=$file of=hidden$j.dd skip=$i count=$len2 bs=$bs rm l.dat ls -l *.dd fi # end check FAT12 fi # end check if there is the FAT word done echo "File System chosen: $fs" echo "Sector size: "$bs fi # end check if fs is FAT type
# NTFS CASE if [ "$fs" = "ntfs" ] then
# taking only the sectors for i in $(cat sigs.txt | awk -F "Block:" '{print $2}'|awk '{print $1}') do offset=$(( $i*512 )) j=$(( j+1 ))
# controlling the word "NTFS" inside the target partition fat_flag=$(xxd -s $offset -l 512 $file| grep -i ntfs) if [ "$fat_flag" ] then # looking for the sector size start_bs=$(echo $offset + 11 | bc) xxd -s $start_bs -l 2 $file | awk -F ":" '{print $2}' | xxd -p -r >bs.bin #converting in big endian dd if=bs.bin of=b1 skip=1 count=1 bs=1c dd if=bs.bin of=b2 skip=0 count=1 bs=1c cat b1 b2 > bs.dat rm b1 rm b2 rm bs.bin #calculating the sector size length lenbs=$(cat bs.dat|xxd -p | tr [:lower:] [:upper:]) # converting in decimal bs=$(echo "obase=10; ibase=16; $lenbs" | bc) echo "File System chosen: $fs" echo "Sector size: "$bs # extracting bytes 40-47 from the NTFS boot sector start_byte_fat_len=$(echo $offset + 40 | bc) xxd -s $start_byte_fat_len -l 8 $file | awk -F ":" '{print $2}' | xxd -p -r >lung.bin #converting in big endian dd if=lung.bin of=l1 skip=7 count=1 bs=1c dd if=lung.bin of=l2 skip=6 count=1 bs=1c dd if=lung.bin of=l3 skip=5 count=1 bs=1c dd if=lung.bin of=l4 skip=4 count=1 bs=1c dd if=lung.bin of=l5 skip=3 count=1 bs=1c dd if=lung.bin of=l6 skip=2 count=1 bs=1c dd if=lung.bin of=l7 skip=1 count=1 bs=1c dd if=lung.bin of=l8 skip=0 count=1 bs=1c cat l1 l2 l3 l4 l5 l6 l7 l8> l.dat rm l1 rm l2 rm l3 rm l4 rm l5 rm l6 rm l7 rm l8 rm lung.bin #calculating the partition length len=$(cat l.dat|xxd -p | tr [:lower:] [:upper:]) # converting in decimal len2=$(echo "obase=10; ibase=16; $len" | bc) dd if=$file of=hidden$j.dd skip=$i count=$len2 bs=$bs rm l.dat fi done ls -l *.dd echo "File System chosen: $fs" echo "Sector size: "$bs fi
# ext2/3 case (please test it!) if [ "$fs" = "ext2" ] || [ "$fs" = "ext3" ] then # taking only the sectors for i in $(cat sigs.txt | awk -F "Block:" '{print $2}'|awk '{print $1}') do offset=$(( $i*512 )) j=$(( j+1 ))
# looking for the blocks size start_bs=$(echo $offset + 24 | bc) xxd -s $start_bs -l 4 $file | awk -F ":" '{print $2}' | xxd -p -r >bs.bin #converting in big endian dd if=bs.bin of=b1 skip=3 count=1 bs=1c dd if=bs.bin of=b2 skip=2 count=1 bs=1c dd if=bs.bin of=b3 skip=1 count=1 bs=1c dd if=bs.bin of=b4 skip=0 count=1 bs=1c cat b1 b2 b3 b4 > bs.dat rm b1 rm b2 rm b3 rm b4 rm bs.bin #calculating the sector size length lenbs=$(cat bs.dat|xxd -p | tr [:lower:] [:upper:]) # converting in decimal lenbs2=$(echo "obase=10; ibase=16; $lenbs" | bc) #Block size (saved as the number of places to shift 1,024 to the left) # "<<" is the left shift bitwise operator bs=$[ "1024 << $lenbs2" ] echo "File System chosen: $fs" echo "Sector size: "$bs echo $start_byte_fat_len # extracting bytes 4-7 from the EXT Superblock start_byte_fat_len=$(echo $offset + 4 | bc) xxd -s $start_byte_fat_len -l 4 $file | awk -F ":" '{print $2}' | xxd -p -r >lung.bin #converting in big endian dd if=lung.bin of=l1 skip=3 count=1 bs=1c dd if=lung.bin of=l2 skip=2 count=1 bs=1c dd if=lung.bin of=l3 skip=1 count=1 bs=1c dd if=lung.bin of=l4 skip=0 count=1 bs=1c
cat l1 l2 l3 l4 > l.dat rm l1 rm l2 rm l3 rm l4 rm lung.bin #calculating the partition length len=$(cat l.dat|xxd -p | tr [:lower:] [:upper:]) # converting in decimal len2=$(echo "obase=10; ibase=16; $len" | bc) # $(($i-2)) because it starts 2 sectors before the signature dd if=$file of=hidden$j.dd skip=$(($i-2)) count=$len2 bs=$bs rm l.dat rm bs.dat done ls -l *.dd echo "File System chosen: $fs" echo "Sector size: "$bs fi
date exit
Click here to DOWNLOAD
Premetto che quest'articolo è solo a fini didattici, detto questo possiamo iniziare a parlare di come approntare il nostro netbook Samsung NC 10 per il wep cracking.
Primo step (Linux onboard):
Installare Linux Ubuntu o Kubuntu su una partizione libera oppure tramite Wubi, quest'ultimo sistema, vi permette di installare Linux direttamente da Windows, evitando così tutti i problemi di partizionamento ed una volta installato, al reboot del computer, avrete la doppia scelta Windows o Linux.
Secondo step (installiamo i driver MadWifi):
Facciamo il boot da Linux. Installiamo i drivers wireless per Linux: bisogna installare il pacchetto build-essential e compilare i driver madwifi ed i madwifi-tools (sudo apt-get install madwifi-tools), ma occorre disabilitiare i driver con restrizioni che riconoscono la scheda ma non le permettono di funzionare: Sistema>Amministrazione>Driver Hardware e cliccare sul tasto Disattiva in basso a destra, quindi riavviare il sistema. Dopo queste operazioni, scarichiamo gli ultimi driver madwifi da qui, ed estraiamoli sul Desktop, apriamo un terminale e digitiamo: sudo apt-get install build-essential, che è il pacchetto contenente i software necessari alla compilazione dei driver, quindi sempre da terminale, si passerà alla compilazione dei drivers: cd Scrivania/madwifi-hal* (se abbiamo scompattato i drivers sul Desktop) sudo make sudo make install sudo modprobe ath_pci
Per far sì che i drivers siano caricati automaticamente all’avvio. sudo gedit /etc/modules o sudo kate /etc/modules e in fondo al file, aggiungiamo: ath_pci salviamo e riavviamo. Al riavvio successivo, la scheda wireless dovrebbe essere visibile e configurabile cliccando sull’icona di Network Manager nel tray, oppure, vi consiglio di usare WiCd e disinstallare il Networtk Manager. (Nota personale: dopo tutta questa procedura, ho pure ripristinato i driver con restrizioni e tutto funziona)
Terzo Step (armiamo il sistema):
Scarichiamo la suite Aircrack-ng da Installa pacchetti o da terminal windows digitando:
sudo apt-get install aircrack-ng
Dopo quest'operazione digitiamo in terminal window il comando:... Continua a leggere...
Di Admin (del 04/02/2009 @ 08:17:22, in Annunci, linkato 2377 volte)
Segnalo l'egregio lavoro effettuato da Gianni Amato e Davide Baglieri
http://www.gianniamato.it/2009/02/whoishimcom-un-solo-link-per-trovarti.html
NON è un meta-motore di ricerca, nel senso più conosciuto, infatti WhoIsHim, non si occupa di cercare qualcuno per nome e cognome, su tutto il web e tirar fuori i risultati, ma cerca sui più importnati motori e communities online, in seguito l'utente, assegna un voto di bookmarking alla risorsa che ha soddisfatto meglio le sue aspettative....
Tramite un algoritmo particolare, ci sarà un rating, che assegnerà, mediante codice cromatico (grigio, giallo e verde), la rilevanza statistica che un certo sito/community/motore soddisfa meglio, secondo gli utenti che hanno cercato una determinata persona.
I punti di forza sono evidenti, è uno strumento molto utile per chi fa scouting su qualcuno, usando il web, per reperire informazioni, farsi un'idea e magari un inizio di profiling, sulla persona target.
Il punto debole è rappresentato dall'improbabile accumulazione di voti di bookmarking, per singolo nome e cognome, visto che difficilmente ci saranno più ricerche effettuate da più utenti nel mondo, su di uno stesso nome, a meno di casi famosi....
Conclusioni: bravi ragazzi! Good Job!
INCONCEPIBILE!
Questa è la parola....ieri ho seguti Annozero e c'era Gioacchino Genchi, il super consulente tecnico dell'inchiesta Why Not, ecc. ecc. Dopo che su Matrix si era visto Mastella, l'ex-ministro della Giustizia, che confondeva il concetto di tabulato con il concetto di intercettazione, ieri si è visto di tutto e di più....per chi l'ha perso si tenga forte sulla sedia, sto per arrivarci.
Genchi dopo aver spiegato mille volte che un CTU o un CTP del PM non può fare le cose di testa propria, ma solo sotto ordine del giudice, ha dovuto pure spiegare che dopo la nomina si diventa automaticamente e per il tempo dell'indagine un ausiliario di Polizia Giudiziaria o quantomeno un pubblico ufficiale pro tempore, ma come mai si devono spiegare queste cose a gente che parla di giustizia, ex ministri (Claudio Martelli), giornalisti, ecc. ?
Ma andiamo alle castronerie più folli, non ricordo che carica ricoprisse, comunque abbastanza importante, ma un tale del Corriere della Sera, all'obiezione di Genchi all'accusa di conservare i dati delle sue perizie, spiegando che servirebbe uno spazio ingente per lo stoccaggio, il tipo ribatte dicendo: "suvvia, lo sanno tutti che oggi ci sono le chiavette ed i dischetti...."
ORRORE!
Ma adesso arriva la bomba, alla fine della trasmissione Claudio Martelli, chiede a Genchi, chi lui fosse, nel senso come mai un privato cittadino, può diventare CT di un PM e fare quel lavoro, quando gli spiegano che in Italia è così da sempre, che è la legge, che i PM possono richiedere una perizia a chiunque, se lo reputano competente in materia, Martelli rimane allibito e sentenzia:
"Ma allora bisogna cambiare la legge"......
DE PROFUNDIS.....ORRORE E ORRORE.....
un ex ministro di Grazie e Giustizia della Repubblica Italiana, che scopre solo oggi, nel 2009, come funziona la Giustizia italiana, scopre solo oggi che cosa sono i consulenti tecnici, è dovuto interventire Marco Travaglio a spiegargli, che se c'è un procedimento su una lesione biologica, è chiaro che il giudice deve nominare un esperto in medicina, mica può sapere cose simili, dato che un giudice è in genere laureato in giurisprudenza...
Chissà perchè, ma una vocina mi dice che se Genchi fosse stato un CT, medico, ingegnere, psicologo, ecc. Martelli non si sarebbe mai posto il problema, ma quando entra in ballo la tecnologia, ecco che tutti cascano, non capiscono più niente e non sanno più niente...come faremo ad andare avanti in queste condizioni?
Emigriamo tutti a Bora Bora?
|