Nanni Bassetti All&Nothing

Non so perchè, ma mi sono dedicato all'evoluzione di BrutalStego , ho scritto, infatti, un nuovo bash script, che fa realmente una steganografia di un testo, lo cripta in AES256 e lo nasconde in esadecimale nel file vettore. La cosa che mi interessava era poter criptare il testo, nasconderlo e poterlo rilevare tramite immissione di password, insomma un tool di steganografia reale! Strumenti usati:grep, awk, dd, bc, wc, xxd, openssl In sostanza funziona così:si inserisce il nome del file vettore, si inserisce il nome del nuovo file (quello contenente il messaggio segreto), si inserisce il messaggio ed infine si inserisce la password.Dopo questi input, il programmino cripta con OpenSSL in AES256 il messaggio segreto, poi lo converte in esadecimale e lo posiziona all'interno del nuovo file vettore. L'ho testato sulle JPG e sugli MP3 e non si nota alcuna perturbazione. Rilanciando il programmino, si può andare a svelare il messaggio segreto, inserendo il nome del file vettore

Siamo ormai nel 2009, tutto si è evoluto, tutto è veloce e potente, ma la Giustizia italiana? Quella rimane lenta, lentissima, ci sono cause iniziate nel 1998, che devono ancora finire e che magari richiedono ancora delle perizie. Come attrezzarsi? Potremmo trovarci di fronte a macchine Intel 386 se non 286, senza porte USB, senza lettori di CD-Rom, senza BIOS che permettano il boot da CD-ROM, con pochissima RAM, l'unica cosa positiva sarebbe la dimensione dell'hard disk da repertare, che probabilmente sarebbe di pochi megabytes. A volte, anche le macchine "moderne", possono avere dei problemi di incompatibilità, con le Linux Live distro, perchè qui stiamo, chiaramente, parlando di usare una Live, per svariati motivi, e non di staccare l'hard disk e collegarlo alla nostra workstation, che sarebbe la soluzione ottimale per ovviare ad ogni questione. Quindi nel nostro zainetto da bravo consulente tecnico informatico non dovrebbero mancare mai, secondo la mia persona

Ho appena finito di leggere un interessante articolo di Mark Whitteker su ISSA Journal, che riassume alcune tecniche di base dell'anti-forensics, trovo questo genere di articoli molto costruttivi, perchè non dicono niente di nuovo, ma servono ad accorpare e sintetizzare dei concetti, cosa che è utile, specialmente in un settore così ricco di tecniche da dover ricordare. Cos'è l'anti-forensics? Si tratta di tutti quegli escamotages, che servono a mettere in difficoltà i " digital investigators ", in modo da riuscire ad occultare o a rendere estremamente diffcile il reperimento di evidenze digitali. I tipi di anti-forensics possono suddividersi in tre grandi branche: Data Hiding (occultare i dati) Tool's weakness (debolezze note dei tool per la computer forensics) Investigator's weakness (debolezza dell'investigatore) DATA HIDING I dati possono essere nascosti in moltissimi modi e non solo sull'hard disk in esame, ma anche su siti web di

Per divertirmi mi sono chiesto, cosa succederebbe ad un'immagine JPG o ad un MP3 se inserissi del codice esadecimale o del testo al loro interno, senza un orientamento ben preciso, insomma una steganografia manuale. Quindi ho deciso di provare a tradurre in esadecimale una frase: $ echo "ciao mondo! Uffa sempre questa come frase esempio :)" xxd -p 6369616f206d6f6e646f2120556666612073656d70726520717565737461 20636f6d65206672617365206573656d70696f203a290a Ottenendo la conversione in esadecimale della frase, poi aprendo con un editor esadecimale una JPG ho provato ad incollare il suddetto codice, partendo dall'offset 11 (in decimale), salvo l'immagine modificata e provo a visualizzarla...tutto ok! L'immagine non presenta alterazioni visibili. :) Se faccio l'operazione inversa: $ echo "6369616f206d6f6e646f2120556666612073656d70726520717565737461 20636f6d65206672617365206573656d70696f203a290a" xxd -r -p ciao mondo! Uffa sempre questa come frase esem

ecco il mio nuovo nato FKLook trattasi di uno script bash per Linux, che vi permette di cercare le keyword in una directory piena zeppa di file e copiare tutti quelli che la contengono in una directory di vostra scelta, in modo tale da avere un repository di file selezionati in base alla keyword. Testatelo! ciao # /bin/bash/ # File Keywords searching tool by Nanni bassetti http://www.nannibassetti.com - nannib@libero.it echo "#########################################" echo "FKLOOK - by Nanni Bassetti http://www.nannibassetti.com - nannib@libero.it" echo "by this script you can search for a keyword in many files" echo "and it copies only the files those match with the keyword, in a separated directory you chose" echo "########################################" echo " " echo "Write the output directory where you to save the files (eg. /media/myfiles):" read outdi data=$(date | sed 's/ //g' | sed 's/://g'

Annuncio l'uscita di CAINE v0.3 - Aggiunti: libewf-20080501, afflib-3.3.4. - Aggiornato TSK 3.0 (ricompilato). - Sistema aggiornato con l’ultimo kernel. - Corretto un bug a SFDumper di adattamento al sistema CAINE Adesso CAINE ha lo Sleuthkit ed Autopsy ricompilati per il riconoscimento delle immagini AFF e formato ENCASE. http://www.caine-live.net/page5/page5.html

Oggi sono molto contento, perchè sia il Linux Day di Reggio Calabria dove hanno partecipato i CFIini: Gianni Amato, Loris Borgese, Achille Foti è andato benissimo, da quel che mi dicono, vi è stata una platea interessata ed interattiva... Il Linux Day di Modena con: Nanni Bassetti, Denis Frati, Giancarlo Giustini e Giordano Lanzi è andato lo stesso benissmo, abbiamo conosciuto il professor Michele Colajanni, il ricercatore Mauro (scusami non ricordo il cognome) dell'Università di Modena, persone disponibilissime ed aperte a futuri progetti e collaborazioni. Grande interesse è stato mostrato sin dal mio intervento introduttivo su CFI (Computer Forensics Italy) e sulle Best Practices forensi, con tante domande che stimolavano il dialogo. Poi è stato il turno di Giancarlo Giustini, che ha presentato la Linux Live Distro CAINE , la prima al MONDO a montare lo Sleuthkit 3.0 e Autopsy 2.20 e tutti gli altri tool aggiornati (Photorec, testdisk, foremost, ecc.), inoltre contiene anche

Il tempo libero serve anche a sperimentare e quando si ha la passione per la computer forensics, son dolori.... Tramite Nigilant32 (presente nella parte Live di Helix 2 ) faccio l'immaginedella Ram del mio PC, mentre è in uso, e la salvo sul file RAM.IMG. ram.img - dump della mia ram 1.3Gb Tramite editor esadecimale, vedo che tra le tante stringhe, contenute nel file, ne prendo una a casaccio per fare il mio test, la stringa è " awatarami ". Cerco con strings e il parametro -t d (che mi genera anche l'offset in decimale) ottenendo: strings -t d ram.img | less 33593  Skype z awatarami Quindi segno l'offset come: 33593 Poi cerco con grep ed i parametri -i ignora il maiuscolo/minuscolo; -a tratta il file binario come se fosse testuale; -b stampa il byte offset; -o Mostra solo la parte di linea che coincide con la stringa cercata; grep -iabo awatarami ram.img 4923:awatarami Segno l'offset: 4923 Ho cercato la parola "awatarami" ed ho ottenuto due o

Con immenso piacere annuncio a tutta la community CFI la ns pagina degli eventi: http://www.cfitaly.net/italiacfi da qui potete vedere sia gli eventi passati sia quelli in fieri.... Per il 25/10 abbiamo: http://www.conoscerelinux.it/Members/pigio/linuxday-2008/linuxday-2008/ a Modena (Bassetti, Frati, Giustini, Lanzi), con presentazione di CAINE http://www.caine-live.net/ poi Gianni Amato, Achille Foti e Loris Borgese e forse Calogero Bonasia su Reggio Calabria: http://rclug.linux.it:80/eventi/linux-day/2008 Insomma ringraziando la disponibilità dei LUG, CFI sta, pian pianino, mantenendo la promessa, di muovere la conoscenza sul territorio nazionale....speriamo di continuare così e col contributo di TUTTI....Grazie!!

CAINE: A new open source live distribution for digital forensics Sviluppata da: Giancarlo Giustini, Mauro Andreolini, Michele Colajanni E-mail: ing.giustini@gmail.com , mauro.andreolini@unimore.it , michele.colajannig@unimore.it Department of Information Engineering University of Modena and Reggio Emilia SITO WEB: http://www.caine-live.net Nella versione in sviluppo è stato inserito anche Selective File Dumper (SFDumper) Qual'è la diversità di CAINE? L'idea NUOVA è sulla creazione del report automatico, dopo aver effettuato tutte le operazioni, di acquisizione, analisi, comandi da terminale ecc., l'interfaccia permette di creare un report con tutti i log files delle operazioni fatte ed in più permette di aggiungere delle note ed una personalizzazione. Ma non solo questo....CAINE si differenzia dalle altre distro, per la facilità d'uso, l'uso di un'unica GUI (interfaccia grafica) che permette il lancio dei vari tool ed una buona usabilità del tutto. E' poco d

Ho appena provato Helix 2 sul mio laptop Acer 1694 Centrino M760 con 1250Mb di Ram. Boot: 6 minuti =8-O Piacevole sorpresa è INSTALLABILE! Una volta dentro noto: 1) Ottimo il configuratore di rete wireless ed ethernet 2) Manca Air ma c'è Adepto. 3) I menù sono messi bene, noto subito una facile usabilità degli strumenti 4) RegViewer come al solito....non funziona...appena seleziono un file di registro ...sparisce il tool. 5) Ophcrack richiede un percorso per le rainbow tables...che nn son riuscito a trovare...forse nn ci sono 6) Per il resto sembra molto carino ;) Parte Windows: ben fatta.... molti tool utili specialmente per il dumping della RAM un utile WinAudit tool per sapere di tutto del sistema Windows sul quale si sta operando un tool chiamato USB Deview per visualizzare tutti i dispositivi USB che sono e che sono stati attaccati almeno una volta al PC analizzato. Un Disk Manager con possibilità di lock sui dischi. Un Pre-Search tool per la ricerca e la preview veloce delle

Spesso si parla di creare una macchina virtuale sotto Linux, al fine di lanciare un altro sistema operativo "virtualizzato", spesso questo sistema è rappresentato da Windows. Il concetto è semplice, si crea una macchina virtuale, con un suo hard disk virtuale e su di esso si installa Windows come se fosse un'installazione normale, chiaramente, nella macchina virtuale bisogna attivare il dispositivo CD-Rom, in modo da poter inserire il cd di Windows. Una volta installato il sistema operativo di Microsoft, rimane il problema di come farlo comunicare col sistema host di Linux, per sfogliare le directories condivise ad esempio. Ma tra la teoria e la pratica, come al solito, c'è sempre qualche difficoltà, dato che, al fine di sfogliare la rete e vedere le cartelle condivise, bisogna configurare sia Linux sia le connessioni di rete del sistema virtualizzato. Qui descrivo la mia esperienza con Virtualbox ( http://www.virtualbox.org/ ) se qualcuno ha qualcosa da aggiungere o

Ecco qui la versione di FUNDL - File Undeleter, tool basato su lo Sleuthkit per Linux, finalmente per Windows 32: DOWNLOAD In sostanza si tratta di un ripping dell'ambiente CygWin, che ho fatto con le mie manine, portandomi appresso i file necessari per far funzionare il tutto.Sfrutta lo Sleuthkit 3.0.0b4 (adesso è disponibile TSK 3.0 ) col nuovo FLS che risolve i problemi di recupero dei file orfani....insomma con questo si recuperano tutti i files cancellati! Si parte con START.BAT Il percorso del file immagine deve essere sempre scritto così: /cygdrive/LETTERA_VOLUME/Dir_file_immagine/file.dd LETTERA_VOLUME sarebbe C o D ecc. ecc. Fatemi sapere se funzia bene Grazie!

Nella digital forensics c'è sempre bisogno di strumenti e idee nuove.... Qui mi son limitato a creare tre piccoli tool, che forse non hanno nemeno un'utilità, però, almeno da un punto di vista didattico, possono esser validi: FUNDL - File Undeleter - Trattasi di un file bash shell per Linux, (richiede l'uso dello Sleuthkit ), che serve a recuperare tutti i files cancellati da un disco o da una sua bitstream image. Qui la Windows version . JPG_Builder - Trattasi di un bash shell script per Linux, che inserisce l'header ed il footer binari di un'immagine JPG in un file. Questo può servire per tentare di ripristinare qualche JPG corrotta alla quale mancano l'header e/o il footer. Spywarino - Questo è un programmino per Windows, che sfrutta i pre-compilati di dd, nc per duplicare bit a bit, un disco in rete LAN, senza che il proprietario del disco se ne accorga (chiaramente un monkey user). Utile per duplicare il disco di qualcuno e poi analizzarlo con tutta calm

Di Admin (del 16/09/2008 @ 09:07:53, in Computer Forensics , linkato 207 volte) Come si misura la competenza? Negli ultimi tempi si è dibattuto parecchio su quello che serve per poter parlare, insegnare o operare nella computer forensics e a mio vedere sono uscite varie realtà: A) I MEGALOMANI: prima solo di pronunciare le parole "computer forensics" devi: 1) Aver fatto un numero vicino al diametro di Giove di CTU e CTP! Scherzi a parte è un numero ed è sempre imprecisato....forse volutamente....se ne hai fatte 5,10, 100 non si sa ...c'è sempre quello che dice che son poche...la qualità di queste CT? Mha!...non conta...per questi della categoria A, contano solo le "misure" (potremmo ribattezzarli i pornodivi). 2) Devi aver dibattuto in tribunale, sempre per un numero di volte imprecisato, contro gli avvocati più temibili del pianeta, quelli clonati dalle cellule di Bill Gates e Linus Torvald, con un'iniezione di DNA di Perry Mason ed un pò di DNA di

Questo è un vademecum, un prontuario, sulle procedure e le casistiche, che possono accadere durante un'indagine informatica. Non è il solito libro di computer o digital forensics per tutti, ma è rivolto agli operatori del settore, ai formatori, come insieme di linee guida e procedure da seguire durante l'individuazione, l'acquisizione, l'analisi ed il reporting. Un manuale per diventare degli Sherlock Holmes digitali! http://www.lulu.com/content/1356430

Il convegno è stato bello lungo dalle 9.30 a quasi le 15:30, gli argomenti sono stati molto interessanti e tecnici, anche nello specifico.... Per non parlare della parte legale curata da Francesco Paolo Micozzi e Giovanni Battista Gallus, che sono riuscito a seguire poco (causa aereo), ma sapevo di cosa avrebbero parlato, un grande Giancarlo Cucinotta, che ci ha fatto vedere delle slides fenomenali su analisi sui microprocessori, addirittura forensics sui trasponder delle chiavi delle automobili, ecc. ecc. SPETTACOLO! Gianni Amato è stato tartassato dalle domande del pubblico.... Un grande Mario Pascucci con uno "nascondino dei bit" intrigante )) Infine me e Denis Frati che abbiamo parlato di CFI e B.P.A breve avremo le slides in linea e ,non so quando, anche il filmato che la LUSPIO ha fatto .... In ogni caso è un passo importante nella storia di questo gruppo e speriamo serva a farne altri...in tante città...perchè detto tra noi....MINKIA CHE SFACCHINATA!!!!DDDDD

Molti di voi sapranno cos'è Foremost, il più famoso "carver" nell'ambito del recupero dati e della computer forensics, ma per chi non lo sapesse:Foremost è un programma da console per recuperare i file in base alle loro intestazioni, footers, e le strutture dati interne. Questo processo viene comunemente denominato data carving.Foremost è in grado di lavorare su file immagine (bitstream), come quelli generati dai dd, Safeback, Encase, ecc, o direttamente sul dispositivo.Gli headers ed i footers possono essere specificati da un file di configurazione o è possibile utilizzare parametri della riga di comando per specificare i tipi di file built-in. Originariamente sviluppato da parte degli US Air Force Office of Special Investigations e dal The Center for Information Systems Security Studies and Research, attualmente Foremost è Open Source ed è mantenuto da Jesse Kornblum, Kris Kendall, and Nick Mikus. Quando questo fantastico programmino viene lanciato, crea nella direc

http://sfdumper.sourceforge.net Il sottoscritto, insieme a Denis Frati , ha sviluppato un tool che faciliterà la ricerca dei files per tipologia o meglio per estensione (es. .doc o .jpg). Infatti per cercare tutti i files di un certo tipo e poi salvarli diventa abbastanza complicato o manuale. Grazie allo Sleuthkit ed Autopsy si possono cercare i files con una certa estensione, nel file system, ma poi bisogna esportarli manualmente nella cartella REPERTI, stesso dicasi per i files cancellati ed infine col FOREMOST si effettua un carving, con conseguente duplicazione tra i files “carvati”, di quelli già estratti in precedenza (attivi e cancellati), infine si potrebbe effettuare una ricerca per stringhe/keywords sul set di files che si sono salvati usando Sleuthkit e foremost. Tutte queste operazioni portano via moltissimo tempo e vanno fatte manualmente. Ecco che abbiamo pensato a scrivere questo bash script SFDUMPER.SH che fa tutte le operazioni su descritte automaticamente ed inoltre

Grazie all’Università S. PIO V ed al paziente lavoro di Nanni Bassetti, sono disponibili i filmati (320×200) degli interventi tenuti per il convegno di CFItaly dello scorso 18 giugno: http://www.cfitaly.net/filmati

Salve a tutti! Benvenuti nel mio nuovo blog.....spero di riorganizzare al meglio tutta l'informazione che ho prodotto nel corso degli anni, con una piattaforma migliore.... ;)

Il convegno è stato bello lungo dalle 9.30 a quasi le 15:30, gli argomenti sono stati molto i nteressanti e tecnici, anche nello specifico.... Per non parlare della parte legale curata da Francesco Paolo Micozzi  e Giovanni Battista Gallus, che sono riuscito a seguire poco (causa aereo), ma sapevo di cosa avrebbero parlato, un grande Giancarlo Cucinotta, che ci ha fatto vedere delle slides fenomenali su analisi sui microprocessori, addirittura forensics sui trasponder delle chiavi delle automobili, ecc. ecc.  SPETTACOLO ! Gianni Amato  è stato tartassato dalle domande del pubblico.... Un grande  Mario Pascucci  con uno "nascondino dei bit" intrigante  )) Infine  me   e  Denis Frati  che abbiamo parlato di CFI e B.P. A breve avremo le slides in linea e ,non so quando, anche il filmato che la LUSPIO ha fatto ....  In ogni caso è un passo importante nella storia di questo gruppo e speriamo serva a farne altri...in tante città...perchè detto tra noi....MINKIA CHE SFA

Che fare quando nel 2008 ti chiamano per un’indagine informatica?  La prima cosa che ti domandi è:  “Ma cosa dovrò acquisire? Come dovrò attrezzarmi?”  Chiaramente sono domande paragonabili agli interrogativi filosofici sui massimi sistemi ed in genere ricevono risposte onomatopeiche a suoni tipo “Bho?”.  Però questa volta c’è una novità, ti invitano a presenziare al sequestro, al fine di effettuare, professionalmente, il prelievo dei supporti informatici presenti.  Siamo nel 2008 è già il piccolo investigatore informatico immagina terabytes di hard disk da acquisire, macchine RAID, 200 PC di cui 150 sono accesi e magari hanno sistemi crittografici e tutto questo rende le notti prima della data dello “sbarco” più dure della fatidica notte prima degli esami.  Ma bisogna farsi coraggio e procedere per passi, quindi subito scrivere una checklist di cose da fare il giorno del sequestro:  CHECKLIST   1) Controllare se i PC sono accesi.  1.1) Verificare che non vi siano volumi criptati (in c