Di seguito tutti gli interventi pubblicati sul sito, in ordine cronologico.
 
 

Ieri è nata la Mailing List CFI - Computer Forensics Italy
un nuovo spazio virtuale creato da me e da Denis Frati, al fine di realizzare un luogo virtuale dove poter scambiare idee, consigli e sopratutto fare domande di ogni genere, con un taglio pratico e realistico....per crescere insieme.
La CFI si prefigge lo scopo di riunire tutti i computer forensers italiani, interessati al dialogo sulle situazioni "reali" dello stato dell'arte della computer forensics italiana.
Lo spazio è aperto a tutti e tutti saranno considerati alla pari ed ogni punto di vista sarà rispettato.
Insieme si può fare tanto, dai gruppi cooperativi online sono nate tante cose, ricordiamo Linux, ma anche il nostro più recente Selective File Dumper (SFDumper), realizzato dalla cooperazione remota tra me e Denis.
Su questo spirtio vogliamo che si sviluppi CFI.....

Sito web: http://www.cfitaly.net/

Chiunque sia interessato ad iscriversi:

http://groups.google.it/group/cfitaly/subscribe?hl=it¬e=1

Grazie

Selective File Dumper

http://sfdumper.sourceforge.net

Il sottoscritto, insieme a Denis Frati, ha sviluppato un tool che faciliterà la ricerca dei files per tipologia o meglio per estensione (es. .doc o .jpg).

Infatti per cercare tutti i files di un certo tipo e poi salvarli diventa abbastanza complicato o manuale.

Grazie allo Sleuthkit ed Autopsy si possono cercare i files con una certa estensione, nel file system, ma poi bisogna esportarli manualmente nella cartella REPERTI, stesso dicasi per i files cancellati ed infine col FOREMOST si effettua un carving, con conseguente duplicazione tra i files “carvati”, di quelli già estratti in precedenza (attivi e cancellati), infine si potrebbe effettuare una ricerca per stringhe/keywords sul set di files che si sono salvati usando Sleuthkit e foremost.

Tutte queste operazioni portano via moltissimo tempo e vanno fatte manualmente.

Ecco che abbiamo pensato a scrivere questo bash script SFDUMPER.SH che fa tutte le operazioni su descritte automaticamente ed inoltre elimina i file carvati doppioni dei files cancellati e attivi estratti con lo Sleuthkit.

Lo script è interattivo, lavora sulla partizione che chiede di scegliere, partendo da un file immagine o direttamente dal dispositivo (es. /dev/sdb).

Download ed informazioni su:

 http://sfdumper.sourceforge.net

ANCORA UN’INDAGINE FORENSE

Che fare quando nel 2008 ti chiamano per un’indagine informatica?

La prima cosa che ti domandi è:
“Ma cosa dovrò acquisire? Come dovrò attrezzarmi?”

Chiaramente sono domande paragonabili agli interrogativi filosofici sui massimi sistemi ed in genere ricevono risposte onomatopeiche a suoni tipo “Bho?”.
Però questa volta c’è una novità, ti invitano a presenziare al sequestro, al fine di effettuare, professionalmente, il prelievo dei supporti informatici presenti.

Siamo nel 2008 è già il piccolo investigatore informatico immagina terabytes di hard disk da acquisire, macchine RAID, 200 PC di cui 150 sono accesi e magari hanno sistemi crittografici e tutto questo rende le notti prima della data dello “sbarco” più dure della fatidica notte prima degli esami.

Ma bisogna farsi coraggio e procedere per passi, quindi subito scrivere una checklist di cose da fare il giorno del sequestro:

CHECKLIST
1) Controllare se i PC sono accesi.
1.1) Verificare che non vi siano volumi criptati (in caso affermativo chiedere passwords e/o analizzare live).
1.2) Spegnerli col distacco dell'alimentazione.
2) I PC spenti si sequestrano: perchè serve avere il PC per leggere orario BIOS ed eventualmente capirne l’architettura degli hard disk (es. se sono RAID).
3) Domandare:
3.1) Ci sono altri dati su altri supporti oltre i PC (es. cd-rom, pendrive, hd esterni), backup (196/03).
3.1.1) In caso affermativo sequestrare.
3.2) Chiedere eventuali passwords e/o buste con le passwords come da D.Lgs. 196/03.
3.3) Ci sono software proprietari che usano per l'elaborazione dati?
3.4) Ci sono connessioni internet per trasmissioni dei dati che ci interessano?
3.4.1) In caso affermativo c'è connessione dedicata? (oppure chiedere il provider es. Wind, telecom, ecc. e relative password ed username)
3.4.2) Ci sono software proprietari di trasmissione?
3.4.3) Ci sono dati memorizzati su host remoti?
3.5) Ci sono Fax/Stampanti con memoria?
3.5.1In caso affermativo sequestrare o vedere in loco.
4) Domandare fattura, documentazione varia per capire la tipologia degli hard disk.
5) In caso di mancanza di risposte sulla tipologia degli hard disk:
5.1) Spiegare che si andrà ad aprire per motivi tecnici: capire la capienza e la tipologia degli hard disk.
5.2) Indossare i guanti in lattice (per elettricita statica/non lasciare impronte), scaricarsi da possibile elettricità elettrostatica, aprire il “case”, leggere l'etichette dei dischi ed eventualmente fotografare/videoregistrare tutto.
5.3) Spiegare che non si sta alterando alcun dato ma solo leggendo delle etichette.
6) Imballare tutto e portare via.
7) Fissare una data per l'acquisizione (duplicazione) dei supporti.

Questa lista è di massima e sarebbe utile controllarla ed aggiornarla a seconda del caso che si andrà ad affrontare.

Arriva la data, si partecipa insieme alle forze dell’ordine, forte della tua nomina di ausiliario di P.G. (Polizia Giudiziaria), si attende che qualcuno entri nell’ufficio sorvegliato e si pensa di vivere in un film (bhè a chi non è del mestiere fa questo effetto….).
Finalmente si entra e mentre i militari si presentano ed espletano le formalità del caso, l’occhio adrenalinico del computer forenser, scruta affamato in cerca di computers, palmtop ed ogni diavoleria elettronica, covando segretamente la speranza di trovare un piccolo PC con un piccolo hard disk.

Ci sono solo due PC uno portatile e l’altro fisso (desktop), sul portatile c’è un’etichetta su stampigliata la misura dell’hard disk …wow solo 40Gb…uno è fatto!

Poi si guarda e si riguarda il PC Desktop, ricordando la famose frase di Michelangelo “perché non parli!”, infatti il monolite metallico non riporta alcuna indicazione su quanti Gigabyte custodisce nel suo disco rigido, questo implica un’apertura del case e conseguente metamorfosi di un militare, in novello Spielberg ,che dovrà riprendere il guantato investigatore digitale mentre, armato di cacciavite e torcia alla CSI, si appresta a violare l’intimità del mostro d’alluminio.

Dopo un quarto d’ora di speologia informatica, finalmente la torcia riesce ad inquadrare la stampigliatura dei GigaBytes sull’hard disk, solo 100Gb!!! Inoltre è un semplice disco IDE, molti incubi hardware svaniscono…
Qualcuno potrebbe domandarsi come mai non si è semplicemnte acceso il computer per capire la dimensione dell’hard disk?
La risposta è semplice: perché NON si fa! Il computer sospetto non va mai acceso se non dopo averlo privato dell’hard disk, in modo da non compromettere l’integrità dei dati in esso presenti.

In attesa della convocazione per il giorno della duplicazione dei dischi, si appronta la workstation di lavoro, che, al minimo, dovrebbe essere così composta:
Cpu abbastanza potente
Due hard disk, uno col sistema operativo o più sistemi operativi (es. Linux e Windows) ed uno vergine pronto ad ospitare le copie o file immagini degli hard disk suspect.
Almeno 1 Gb di Ram
Almeno un bay per inserire l’hard disk suspect senza aprire la workstation.
Un lettore ed un masterizzatore DVD
Porte USB 2.0
Porte FireWire
Scheda di rete ethernet
La scheda wi-fi, la scheda video e quella audio non hanno importanza particolare.
Mainboard con controller SATA ed IDE.


Dopo innumerevoli giorni, finalmente si è convocati per la duplicazione dei supporti, ci si sveglia di buon ora, si carica l’automobile con la seguente attrezzatura:
Workstation priva di tastiera e monitor (useremo quelli della caserma), ma il mouse sì…non si sa mai…
Case per hard disk esterni dotato di adattatore IDE e SATA con uscita USB 2 e E-SATA.
Case per hard disk da 2.5” (quelli dei portatili) con uscita USB 2.0.
Adattatore Ide 2.5” a Ide 3.5” per acquisire l’hard disk del portatile direttamente dal rack della workstation.
Laptop con tutta la tua vita dentro….(non si sa mai).
Cavi vari (alimentazioni, doppie prese, usb, firewire, ecc.) e set di cacciaviti e pinzette.
Guanti in lattice
Videocamera.

Tutto per fugare ogni problema…ma tanto si userà solo la workstation, il cacciavite e l’adattatore ide 2.5” – 3.5 “, i guanti e la videocamera.

Arriva il proprietario dei computer ed il suo legale, rigorosamente non accompagnati da un CTP (tecnico di parte), costringendo l’investigatore della procura a sgonfiarsi come un palloncino forato, infatti egli s’era preparato alla pugna, armato di tutte le risposte e pronto a demolire il suo, probabilmente, “incompetente” avversario, ma questa tenzone non sa da fare….

Dopo un estrazione, paragonabile ad un parto cesareo, difficile degli hard disk, ecco che si procede ad accendere i computer per dare un’occhiata al BIOS ed al clock di ognuno di essi, tutto con una mano sola, perché l’altra impugna la videocamera che riprende le operazioni, commentandole ad alta voce, come un medico patologo fa durante le autopsie.

Si inserisce l’hard disk del laptop nel rack della workstation, utilizzando l’adattatore 2.5” – 3.5” e si lanciano i comandi:
mount –l
fdisk –lu
disktype /dev/hda
hdparm –gI /dev/hda

e si ridereziona l’output di questi verso dei file txt con nomi di fantasia come fdisk.txt, disktype.txt ecc. ecc. e si fa lo sha256sum di ognuno di essi conservando l’output in un file chiamato hash.txt, che a sua volta sarà sottoposto allo sha256sum, così da avere l’hash del file degli hash.

È molto importante il “mount –l” per dimostrare che Linux non ha montato in alcun modo il disco da duplicare, così si garantisce la non alterazione, tutti gli altri comandi servono a fornire ulteriori informazioni sul disco suspect.
È il momento di accendere i motori, dopo aver inserito l’hard disk da duplicare nel rack, si lancia AIR 1.2.8 e si procede alla duplicazione del disco utilizzando i parametri:
ibs=512 e obs=2048 (da alcuni test condotti l’obs>512 velocizza la scrittura dell’immagine)
l’hash prescelto è lo SHA256, algortimo che non ha presentato ancora collisioni, quindi inattaccabile pure dagli avvocati USA.
Chiaramente impostiamo la VERIFICA, in modo da far risultare che l’hash del disco originale coincida con quello della copia.
Per concludere si salva il log file di AIR e si sottopone ad hashing.

L’acquisizione è terminata, come la mattinata e con una fame da lupi si torna alle proprie dimore, ma già con l’idea di procedere al backup delle immagini dei dischi.

L’ANALISI

La prima cosa che si fa è quella di lanciare AUTOPSY ed iniziare l’esplorazione del file system, individuare i files che possono interessare, effettuare una ricerca per stringhe/keywords, creare una timeline per vedere le ultime attività, ordinare i files per tipologia ed ad uno ad uno aprirli per capirne il contenuto. Dato che non si sta cercando niente di particolare e dato che il “profiling” del proprietario dei dischi sequestrati è di utente medio-basso, si evitano le indagini sulle occultazioni sofisticate.
Infine si può procedere ad un carving con foremost o scalpel per estrarre tutti i files presenti nello spazio non allocato.

IL REPORT E LA CONSEGNA

Finito il tutto, si crea una cartella REPERTI dove si conservano tutti i files estratti dal contenuto più o meno interessante, si sottopone ad hash e si ridereziona l’output in un file hash_reperti.txt (per esempio), poi si fa l’hash di quest’ultimo e lo si conserva.
Infine si comprime l’immagine dell’hard disk con gz, tar, zip o quel che si vuole e si sottopone a hash, si copia tutto su hard disk da consegnare all’Autorità Giudiziaria o A.G. per sicurezza si masterizzano i reperti e tutti gli hash files su CD/DVD-ROM non riscrivibile, che, come al solito, per prudenza, lo si può anche firmare col pennarello indelebile.
Il rapporto finale va scritto in due versioni, una completa di tutto, output di fdisk, mmls, disktype,log files di air, hash dei reperti, hash dei file consegnati, ecc. ed una sintetica per far capire “velocemente” i risultati raccolti.
Si deve scrivere anche un rapporto di consegna di tutto ciò che si va rilasciare all’A.G. e farlo firmare da almeno un “verificatore” esterno che testimoni la presenza di ciò che si è dichiarato di consegnare.
Infine la nota spese,che comprende le ore lavoro e le fatture del materiale di consumo utilizzato.
_________________
-----------------------------------
Dr. Nanni Bassetti
Socio CLUSIT, AIPSI e IISFA
http://www.nannibassetti.com/
INDAGINI DIGITALI - http://www.lulu.com/content/1356430

Ciao a tutti ...vi segnalo il mio nuovo nato:

 INDAGINI DIGITALI

Questo è un vademecum, un prontuario, sulle procedure e le casistiche, che possono accadere durante un'indagine informatica. Non è il solito libro di computer o digital forensics per tutti, ma è rivolto agli operatori del settore, ai formatori, come insieme di linee guida e procedure da seguire durante l'individuazione, l'acquisizione, l'analisi ed il reporting.

Un manuale per diventare degli Sherlock Holmes digitali!

http://www.lulu.com/content/1356430

 

 

 

 

 

Ma vi rendete conto?
Vogliono fare una legge che obbliga chiunque abbia un blog, forum, etc. ad iscriversi ad un registro, avere resp. penali, ecc. ecc.
Ma solo in Italia, paese di vecchi incartapecoriti, possono uscire cose simili....

Articolo di Repubblica.it

Anche se dicono che i blog e forum piccoli non saranno toccati...seeeee voglio proprio vedere come misureranno !

"DIVERSI AUTORI, DIVERSI NICKNAMES, DIVERSI RACCONTI..UN UNICO FORUM!"

È lo slogan che campeggia sotto il titolo "RACCONTI IN RETE" sulla copertina
di questa straordinaria antologia di 120 pagine, 15 racconti, nata dopo
quasi un anno di discussioni sul forum XScrivere
(http://www.nannibassetti.com/xscrivere).

Circa un anno fa sul forum lanciai l'idea di "assemblare" un'antologia di
racconti, scritti dai frequentatori dell'agorà virtuale, devo dire che non è
stato facile, non tutti avevano un racconto pronto, non tutti avevano il
tempo, non tutti ci credevano..forse nemmeno io.

Poi piano piano i racconti sono apparsi nella sezione apposita del forum e
subito ho notato la bravura degli scriventi, molti sono dei veri talenti
sconosciuti, allora, forse, quest'idea è un'opportunità per metterli in
evidenza e chissà ricevere dei contatti interessanti.

Il bello di quest'opera è rappresentato dal fattore di estrema modernità, è
un'arte antica sviluppata col mezzo più all'avanguardia, cioè la rete
internet, inoltre gli autori non si conoscono se non per nicknames, un opera
nata nel cyberspazio, nella virtualità, in quel simulatore di civiltà che è
il forum, spazio virtuale in cui nascono, odi, amori, leadership, liti e
risate  e da questa zona out-of-reality è nata l'antologia, che adesso viene
venduta (a diritto d'autore zero) su la libreria virtuale di LULU.com, ma
che terminerà il suo viaggio nelle solide librerie lignee delle case di chi
l'acquisterà.

I racconti sono:

SCELTE di Nannib (Nanni Bassetti)
IL DONO di Caruso.Pascoski (Alessandro Roccella)
L'HOTEL di Caruso.Pascoski (Alessandro Roccella)
MAC di Ziella (Graziana Nanna)
THE BRAIN   di Nannib (Nanni Bassetti)
IL BUIO di Nannib (Nanni Bassetti)
IL GIRASOLE di Caruso.Pascoski (Alessandro Roccella)
UTENTE 9999 di Miriam (Miriam Mastrovito)
LA BASE SOTTO LA NEVE di Manuela80 (Manuela Zonno)
L'ALTRA FACCIA DELLA MEDAGLIA     di  Ziella (Graziana Nanna)
QUOTIDIANETÀ di Kashino84 (Lorenzo Zanierato)
D A D O V E D G T ? di Rosa Boema (Laura Ruzickova  )
SCACCHI di Kashino84 (Lorenzo Zanierato)
OCCHI VERDI,COME LE GATTE   di Rosa Boema (Laura Ruzickova)
A JOHANA di Stiff (???)


Buona lettura.

Link all'antologia:

http://www.lulu.com/content/1286128

28/05/2007 - Finalmente il DBLOG può usare MySQL.
Ho realizzato una versione di DBLOG che si aggancia ad un database MySql, ma funziona anche con MS Access, inoltre ho inserito il filemanager nel fckeditor, in modo da poter effettuare l'upload dei files anche in diverse cartelle.

Ecco link da dove scaricarlo: DOWNLOAD DBLOG PER MYSQL

Ecco alcune mie considerazioni su questo caso che sta infiammando il web:
Penso che sia una manovra poco chiara basato sulla paura della giustizia e sui costi di difesa.
Sui circa 4000 minacciati se anche il 70% si intimidisce e paga i tipi si fanno una barca di soldi e spartiranno con Peppermint & Co. (mio personale parere)
Perchè? Che significa un indirizzo IP? E' solo un indizio non una prova, se anche qualcuno affermasse che sul display del suo cellulare è apparso il mio numero di casa, per una telefonata minatoria o ingiuriosa, chi può affermare che qualcuno non si è messo con i morsetti dalla cabina della Telecom, usando la mia linea abusivamente? E tornando all'IP, se avessi un wi-fi aperto? E se qualcuno mi avesse spoofato? Senza considerare tutte le altre obiezioni di carattere prettamente legale e legislativo che sono già state sollevate....

Lo studio legale della Peppermint, l'avvocato Otto Mahlknecht, afferma che hanno verificato che i file downlodati siano originali e non fake e pare, inoltre, che ,per la privacy, dicono:

"Siccome i dati sono stati raccolti per far valere un diritto in sede giudiziaria non era necessario il consenso della rispettiva persona. Questo è un'eccezione prevista dall'articolo 24, comma 1, lettera f), dell’articolo 43, comma 1, lettera c) nonché dell'articolo 13, comma 5, lettera b) del Codice della privacy. È anche ragionevole, perché altrimenti l'impresa danneggiata non avrebbe la possibilità di agire in giudizio per la tutela dei propri diritti e verrebbe violato l'articolo 24 della nostra "

Personalmente penso che:
Chissenefrega che il file mp3 è realmente quello che hanno downlodato?
I punti importanti (per la mia modesta opinione) sono:
1) chi e come lo hanno preso? (data, ora, luogo, report fotografico, documentazione di tutta la procedura filmata) a quell'ora c'era il tuo cliente connesso?
2) Come hanno ricavato l'ip? Vogliamo il codice sorgente del software...che ne so io che il software non sbaglia a ricavare l'ip? (vedi il film di Robin Williams "L'uomo dell'anno" dove lui viene eletto presidente degli USA per un bug nel software delle elezioni )))
3) Ammessi i primi due punti (e sarà difficile) cosa hanno ricavato? un indirizzo IP e che significa? Chi c'era realmente dietro quell'indirizzo? L'intestatario della line è responsabile, daccordo....però non essendo un'azienda non aveva gli obblighi delle misure minime di sicurezza....se mi fregano l'auto e vanno a fare una rapina cos'è colpa mia?
4) Per la privacy io credo che uno la possa violare quando sporge denuncia presso l'autorità giudiziaria e sono loro che devono condurre l'indagini....altrimenti sarebbe l'anarchia...cioè io sospetto che Fritz mi spia e che faccio? Di mia iniziativa gli metto una microspia in casa.....così se avevo ragione ho violato la privacy per "affermare un mio diritto", ma se avevo torto? Oppss scusate ho violato la privacy di Fritz....
Loro non mirano sul singolo ma vanno ad ampio spettro (credo da quello che ho capito), quindi violano la privacy di migliaia di utenti solo per un sospetto....sapere che un indirizzo IP appartiene a un tal dei tali è una violazione grande...solo su una base di un sospetto, creato da un loro software che non si sa come procede nella raccolta degli IP....mha? Abbastanza strano....

Attualmente, ormai (non mi riferisco necessariamente a questo caso), per guadagnare si usano sempre più dei "mezzucci" mascherati da crociate in nome di principi e diritti, ma alla fine c'è semplicemente un prelivo di denaro facile facile.... ma c'è ancora qualcuno che guadagna perchè produce?
Il mio è un invito, a tutti quanti, a soffermarci su battaglie legali più importanti ...

Bè che dire la mia casa ed. sta lavorando bene:

  http://www.lafeltrinelli.it/istituzionale/catalogo/scheda_prodotto.aspx?i=2478750

Sono presente nel catalogo Feltrinelli....!!!!

In Italia il lavoro non c'è...governi che si alternano per cercare le soluzioni più valide, molti incitano i giovani a creare impresa o fare i liberi professionisti...ma l'INPS? L'INPS non è una tassa, bensì sono soldi nostri versati per la nostra vecchiaia...ok? Però dovrebbero essere prelevati in proporzione al fatturato e non con quota fissa... Infatti se un ragazzo vuole vendere il suo libro online, da un sitarello auto-realizzato, sta vendendo una sua opera, ergo è commerciante e/o artigiano, allora deve aprirsi la P.IVA, ma nella gestione commercio/artigianato si paga il minimale INPS (circa 2500 euro se non erro) annui. Questo significa, che se il ragazzo vende zero o vende una copia fatturando 20 euro, alla fine dell'anno pagherà zero di tasse (irpef) ma pagherà 2500 euro di INPS....La domanda è perchè? E la risposta non è "tanto sono soldi tuoi". Perchè non li puoi riprendere quando vuoi ed inoltre se non si contribuisce per 20 anni non li si avrà mai indietro....ecco che la gente passa al NERO !!! E' più facile fare un esperimento su e-bay, a nero, che rischiare 2500 euro a capocchia! Se si apre la p.iva come consulenti (gestione separata), improvvosamente l'INPS la si paga in proporzione al reddito/fatturato (non sono preciso, non sono un commercialista). Comq mai? Ho visto gente aprirsi la P.IVA per vendere oggettini da internet e poi dopo 6 mesi chiuderla per paura di entrare nel secondo anno fiscale e pagare ancora INPS, con un fatturato, in 6 mesi, di 500 euro.....MA INSOMMA!!! Vogliamo far pagare l'INPS in proporzione ed eliminare il minimale? Altrimenti non ci si lamenti delle attività a nero o della gente che sta senza lavoro...perchè se pure "provare" una propria idea deve costarti carissimo, allora ecco che tutti faranno la fila per il posto statale e fisso!!!