venerdì 31 ottobre 2008

CAINE V0.3


Annuncio l'uscita di CAINE v0.3
- Aggiunti: libewf-20080501, afflib-3.3.4.
- Aggiornato TSK 3.0 (ricompilato).
- Sistema aggiornato con l’ultimo kernel.
- Corretto un bug a SFDumper di adattamento al sistema CAINE
Adesso CAINE ha lo Sleuthkit ed Autopsy ricompilati per il riconoscimento delle immagini AFF e formato ENCASE.
http://www.caine-live.net/page5/page5.html

lunedì 27 ottobre 2008

CFI - Linux Day Modena 2008

Oggi sono molto contento, perchè sia il Linux Day di Reggio Calabria dove hanno partecipato i CFIini:

Gianni Amato, Loris Borgese, Achille Foti

è andato benissimo, da quel che mi dicono, vi è stata una platea interessata ed interattiva...

Il Linux Day di Modena con:
Nanni Bassetti, Denis Frati, Giancarlo Giustini e Giordano Lanzi
è andato lo stesso benissmo, abbiamo conosciuto il professor Michele Colajanni, il ricercatore Mauro (scusami non ricordo il cognome) dell'Università di Modena, persone disponibilissime ed aperte a futuri progetti e collaborazioni.

Grande interesse è stato mostrato sin dal mio intervento introduttivo su CFI (Computer Forensics Italy) e sulle Best Practices forensi, con tante domande che stimolavano il dialogo.

Poi è stato il turno di Giancarlo Giustini, che ha presentato la Linux Live DistroCAINE, la prima al MONDO a montare lo Sleuthkit 3.0 e Autopsy 2.20 e tutti gli altri tool aggiornati (Photorec, testdisk, foremost, ecc.), inoltre contiene ancheFUNDL, SFDumper e LRRP tool sviluppati dal sottoscritto e Denis Frati.
Su questa presentazione, c'è stato molto interesse, personalmente sono stato ORGOGLIOSO del lavoro di Giancarlo, perchè ci abbiamo messo tutti noi un pò di competenza e idee e questo ci è stato riconosciuto a gran voce più volte e per questo li ringrazio tanto....ho avuto, ancora una volta il piacere di respirare una sana aria di collaborazione, condivisione di conoscenza, senza gare di celodurismo, ma con una voglia ed un entusiamo positivo e costruttivo....bello, bello, bello!

Infine ha chiuso i lavori Denis, con una serie di slides "piccanti", : - ) ma molto interessanti, perchè ha spiegato, parecchi motivi per cui Linux è una buona scelta per la digital forensics.

Molto spazio di Q&A (Domande e Risposte), la platea è stata veramente incuriosita, tanti complimenti e richieste....poi ci siam tutti separati.

La sera, mi hanno portato a cena a Modena, ho mangiato da cavia della Danone per il Danacol, (non capisco come facciano in Emila-Romagna con le arterie!) : - D

Speciali ringraziamaneti a: Giordano Lanzi, Francesco Allertsen, Federico, Mauro per la bella compagnia!

Speriamo, che questo cammino intrapreso da CFI, vada avanti, per adesso abbiamo messo le bandierine su: Modena, Roma e Reggio Calabria...http://www.cfitaly.net/italiacfi

sabato 18 ottobre 2008

Grep e Strings due giganti di Linux


Il tempo libero serve anche a sperimentare e quando si ha la passione per la computer forensics, son dolori....


Tramite Nigilant32 (presente nella parte Live di Helix 2) faccio l'immaginedella Ram del mio PC, mentre è in uso, e la salvo sul file RAM.IMG.


ram.img - dump della mia ram 1.3Gb


Tramite editor esadecimale, vedo che tra le tante stringhe, contenute nel file, ne prendo una a casaccio per fare il mio test, la stringa è "awatarami".
Cerco con strings e il parametro -t d (che mi genera anche l'offset in decimale) ottenendo:



strings -t d ram.img | less
33593  Skype z awatarami


Quindi segno l'offset come: 33593


Poi cerco con grep ed i parametri
-i ignora il maiuscolo/minuscolo;
-a tratta il file binario come se fosse testuale;
-b stampa il byte offset;
-o Mostra solo la parte di linea che coincide con la stringa cercata;


grep -iabo awatarami ram.img
4923:awatarami


Segno l'offset: 4923
Ho cercato la parola "awatarami" ed ho ottenuto due offset diversi....ma qual'è quello giusto?
Passo all'uso di xxd (editor esadecimale da riga di comando) e con -s lo faccio partire dall'offset trovato:


 xxd -s 4923 ram.img | less
00133b: 0366 2e0f 011e 1203 662e a10c 0090 9090  .f......f.......
00134b: 9090 9090 9090 9090 900f 22d8 662e a1ec  ..........".f...
00135b: 0266 0bc0 7403 0f22 e066 2ef7  0604 0002   .f..t..".f......
00136b: 0000 0074 1666 b980 0000 c00f 3266 0d00  ...t.f......2f..
00137b:  0800 0066  b980 0000 c00f 3066 2e8b 2e10  ...f......0f....
00138b: 0066 2e8b 0eac 0066 2e8b 1ee8 0266 2ea1  .f.....f.....f..
00139b: e002 662e 8b3e 0800 0f22 c066 ea20 456e  ..f..>...".f. En
0013ab: 8008 0000 0000 0000 0000 0000 0000 0000  ................
0013bb: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0013cb: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0013db: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0013eb: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0013fb: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00140b: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00141b: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00142b: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00143b: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00144b: 0000 0000 0000 0000 0000 0000 0000 0000  ................


Non c'è traccia della parola "awatarami"....
Provo con l'offset ottenuto da strings:


xxd -s 33593 ram.img | less
08339: 2053 6b79 7065 207a 2061 7761 7461 7261   Skype z awatara
08349: 6d69 204b 6c6f 6e69 6573 2e3c 6272 2f3e  mi Klonies.

08359: 3c61 2068 7265 663d 2273 6b79 7065 3a3f 
08389: 5374 77c3 b372 7a20 4b6c 6f6e 6965 3c2f  Stw..rz Klonie08399: 613e 0050 6f6b 61c5 bc20 c59b 7769 6174  a>.Poka.. ..wiat
083a9: 7520 7377 c3b3 6a20 5765 654d 6565 2e3c  u sw..j WeeMee.<


quindi strings mi fornisce l'indirizzo corretto, mentre grep no! 
Errata corrige: (col grep aggiornato funziona invece)
Ne parlo con Mario Pascucci e lui mi suggerisce questa soluzione al dilemma, ossia che grep ha tutto un altro modo di ragionare con i caratteri e potrebbe interpretare erroneamente i caratteri di controllo
e soprattutto fare confusione con i caratteri multibyte, ossia interpretare sequenze di caratteri come multibyte, quando invece sono tutt'altro, e contarli come uno solo.


Un mistero è risolto!
Ma su questi due strumenti NON ho finito di lavorarci, quindi, armato di cronometro ho fatto questo esperimento:


grep -iaob mustafa /cygdrive/c/immaginidd/barbuto.dd
tempo: 52 secondi e 50 centesimi - offset corretto 113917010


$ strings -t d /cygdrive/c/immaginidd/barbuto.dd | grep -i mustafa
113917010 tuo fratello Mustafa
tempo: 29 secondi e 84 centesimi - offset corretto 113917010


Insomma strings in pipe con grep è molto più veloce (il 51% in più).


Sempre consultandomi con Mario, mi suggerisce una spiegazione, che avevo intuito anch'io e che fa capire la potenza dell'operatore "pipe" (|) e di Linux.
Le ragioni della lentezza sono molteplici, ma una su tutte:
strings ha un algoritmo infinitamente più semplice e veloce di grep, e la quantità di dati che estrae è esigua, per cui il secondo grep, il cui input è generato da strings, ha molto meno input da esaminare.


Per avere conferma di ciò, basta mandare l'output di strings su un file, e vedere che è immensamente più piccolo del file intero su cui strings ha lavorato.
inoltre ci sono altre ragioni, fra cui il fatto che grep è costruito per cercare in file di testo, suddiviso in righe, e con un set di caratteri ben definito, e passsandogli un binario, come appunto un'immagine dd, non è che lo aiuti molto.
Strings invece produce un output molto vicino a quello su cui grep offre le prestazioni migliori.


In sostanza, strings estrae le stringhe da un file binario e passa il suo output in pipe a grep, che opererà la ricerca della parola "mustafa", su un output testuale e ridotto, sfruttando al massimo la sua potenza.


La stessa sperimentazione la si può fare usando queste immagini.


Nanni Bassetti


lunedì 13 ottobre 2008

EVENTI CFI - AUTUNNO 2008

Con immenso piacere annuncio a tutta la community CFI la ns pagina degli eventi:

http://www.cfitaly.net/italiacfi

da qui potete vedere sia gli eventi passati sia quelli in fieri....

Per il 25/10 abbiamo:
http://www.conoscerelinux.it/Members/pigio/linuxday-2008/linuxday-2008/
a Modena (Bassetti, Frati, Giustini, Lanzi), con presentazione di CAINE
http://www.caine-live.net/

poi Gianni Amato, Achille Foti e Loris Borgese e forse Calogero Bonasia su Reggio Calabria:
http://rclug.linux.it:80/eventi/linux-day/2008

Insomma ringraziando la disponibilità dei LUG, CFI sta, pian pianino, mantenendo la promessa, di muovere la conoscenza sul territorio nazionale....speriamo di continuare così e col contributo di TUTTI....Grazie!!

giovedì 2 ottobre 2008

CAINE: A new open source live distribution for digital forensics


CAINE: A new open source live distribution for digital forensics
Sviluppata da: Giancarlo Giustini, Mauro Andreolini, Michele Colajanni
E-mail: ing.giustini@gmail.com, mauro.andreolini@unimore.it, michele.colajannig@unimore.it
Department of Information Engineering University of Modena and Reggio Emilia
SITO WEB: http://www.caine-live.net

Nella versione in sviluppo è stato inserito anche Selective File Dumper (SFDumper)
Qual'è la diversità di CAINE? L'idea NUOVA è sulla creazione del report automatico, dopo aver effettuato tutte le operazioni, di acquisizione, analisi, comandi da terminale ecc., l'interfaccia permette di creare un report con tutti i log files delle operazioni fatte ed in più permette di aggiungere delle note ed una personalizzazione.

Ma non solo questo....CAINE si differenzia dalle altre distro, per la facilità d'uso, l'uso di un'unica GUI (interfaccia grafica) che permette il lancio dei vari tool ed una buona usabilità del tutto.
E' poco dispersiva, facile da usare, svincolando così l'operatore da ciò che spaventa tanti, ossia la difficoltà di operare con Linux e con le sue Terminal Windows
Questo è quanto mi ha colpito di più...ma magari Giancarlo ha da aggiungere qualcosa che mi è sfuggito ;)
La distro è stata presentata alla OSSConf2008 SITO: http://www.caine-live.net

Helix 2 è finalmente tra noi!


Ho appena provato Helix 2 sul mio laptop Acer 1694 Centrino M760 con 1250Mb di Ram.
Boot: 6 minuti =8-O
Piacevole sorpresa è INSTALLABILE!
Una volta dentro noto:
1) Ottimo il configuratore di rete wireless ed ethernet
2) Manca Air ma c'è Adepto.
3) I menù sono messi bene, noto subito una facile usabilità degli strumenti
4) RegViewer come al solito....non funziona...appena seleziono un file di
registro ...sparisce il tool.
5) Ophcrack richiede un percorso per le rainbow tables...che nn son riuscito
a trovare...forse nn ci sono
6) Per il resto sembra molto carino ;)

Parte Windows:
ben fatta....

molti tool utili specialmente per il dumping della RAM
un utile WinAudit tool per sapere di tutto del sistema Windows sul quale si sta operando
un tool chiamato USB Deview per visualizzare tutti i dispositivi USB che sono e che sono stati attaccati almeno una volta al PC analizzato.
Un Disk Manager con possibilità di lock sui dischi.
Un Pre-Search tool per la ricerca e la preview veloce delle immagini
L'ho provato sulla workstation con 1Gb di Ram e Intel Pentium Dual Core + Hd Sata e Hd PATA.


Boot: 2.5 minuti
Piacevole novità il mio hard disk SATA viene visto, mentre con la 1.9a no!


www.e-fense.com/helix/

Virtualizzare Windows con VirtualBox




Spesso si parla di creare una macchina virtuale sotto Linux, al fine di lanciare
un altro sistema operativo "virtualizzato", spesso questo sistema è rappresentato da Windows.
Il concetto è semplice, si crea una macchina virtuale, con un suo hard disk virtuale e su di esso si installa Windows come se fosse un'installazione normale, chiaramente, nella macchina
virtuale bisogna attivare il dispositivo CD-Rom, in modo da poter inserire il cd di Windows.
Una volta installato il sistema operativo di Microsoft, rimane il problema di come farlo
comunicare col sistema host di Linux, per sfogliare le directories condivise ad esempio.
Ma tra la teoria e la pratica, come al solito, c'è sempre qualche difficoltà, dato che, al fine di sfogliare la rete e vedere le cartelle condivise, bisogna configurare sia Linux sia le connessioni di rete del sistema virtualizzato.
Qui descrivo la mia esperienza con Virtualbox (http://www.virtualbox.org/) se qualcuno ha qualcosa da aggiungere o da correggere non esiti a scrivere i commenti....perchè questo è un tipico frutto di prova ed errore!

Prima di tutto bisogna creare un file shell tipo questo:

tunctl -t vbox0 -u nbs
chmod 666 /dev/net/tun
brctl addbr br0
brctl addif br0 eth0
ifconfig br0 192.168.1.100 netmask 255.255.255.0
brctl addif br0 vbox0
ifconfig vbox0 up
ifconfig

Oppure inserire questi comandi nel file /etc/network/interfaces

Se si decide di creare il file, lo nominiamo, ad esempio, vbox.sh.
In questo esempio ho usato l'indirizzamento 192.168.1.x, si noti che la mia scheda di rete di Linux è configurata con indirizzo IP 192.168.0.222 e gateway 192.168.0.1, quindi il bridge che si va a creare con questo script appartiene ad una sottorete diversa.
Cosa fa lo script:
tunctl - crea e gestisce un'interfaccia TUN/TAP persistente
Tratto da Wikipedia:
"Nelle reti Informatiche, TUN e TAP sono driver che permettono la creazione di periferiche di rete virtuali. Rispetto alle comuni periferiche (ad es. eth0) che sono controllate direttamente dalle schede di rete, i pacchetti spediti da o verso dispositivi TUN/TAP sono spediti da o verso programmi software. TUN è in grado di simulare una periferica di rete di tipo punto-punto e lavora con pacchetti di tipo IP mentre TAP è in grado di simulare un dispositivo Ethernet e logicamente utilizza i frame Ethernet."
chmod 666 /dev/net/tun - setta i diritti di lettura e scrittura per tutti gli utenti sul device virtuale
brctl addbr br0 - crea un bridge virtuale. Il bridge è un dispositivo di rete che riesce a smistare i pacchetti tra sottoreti anche differenti.
brctl addif br0 eth0 - rende l'interfaccia di rete eth0 una porta del bridge, insomma si pone in modo da poter smistare i pacchetti provenienti da eth0
ifconfig br0 192.168.1.100 netmask 255.255.255.0 - configura l'IP e la netmask del bridge
brctl addif br0 vbox0 - come per eth0 solo che lo fa per vbox0.

A questo punto lanciamo Virtualbox (nel quale abbiamo già creato la macchina virtuale con Windows installato), ed andiamo nei settings di rete.
Qui configuramo una scheda di rete (che comparirà sotto Windows), come Interfac Host, Mac adress assegnato da Virtualbox e nome interfaccia Vbox0.




Poi configuriamo una seconda scheda di rete e la mettiamo in modalità Nat.



Adesso mandiamo in running la macchina virtuale.

Stiamo su Windows.

Vedremo due schede di rete attive, quella col Nat, che avrà un indirizzo IP assegnato e che ci permette di navigare sul web e quella che dovrebbe permetterci di sfogliare le cartelle condivise di Linux.

Ma per farlo devo disattivare la Nat, non so perchè, ma solo così funziona.
Facciamo un passo indietro.
Sotto Linux devo aver installato il Samba, il samba-common ed il demone nmbd.
Dopo aver installato questi pacchetti devo abilitare l'utente con il comando:
sudo smbpasswd -a nomeutente_che usate_per_Linux
sudo smbpasswd -e nomeutente_che usate_per_Linux

Per guardare altre configurazioni di Samba, si può dare un'occhiata al file:
/usr/share/apps/samba/smb.conf

Poi prendete una cartella di Linux (es. /home/nomeutente/Documenti) e sceglite l'opzione "Condivisione", a questo punto da Windows virtualizzato, si dovrebbe poter sfogliare la rete e arrivare alla cartella Documenti, condivisa sotto Linux.
Buna virtualizzazione!

Links:
http://guide.debianizzati.org/index.php/Condivisione_risorse_con_Samba
http://samiux.wordpress.com/2007/07/11/bridge-network-interface-on-virtualbox/

FUNDL per Win32

Ecco qui la versione di FUNDL - File Undeleter, tool basato su lo Sleuthkit per Linux, finalmente per Windows 32:
DOWNLOAD
In sostanza si tratta di un ripping dell'ambiente CygWin, che ho fatto con le mie manine, portandomi appresso i file necessari per far funzionare il tutto.Sfrutta lo Sleuthkit 3.0.0b4 (adesso è disponibile TSK 3.0) col nuovo FLS che risolve i problemi di recupero dei file orfani....insomma con questo si recuperano tutti i files cancellati!
Si parte con START.BAT
Il percorso del file immagine deve essere sempre scritto così:
/cygdrive/LETTERA_VOLUME/Dir_file_immagine/file.dd
LETTERA_VOLUME sarebbe C o D ecc. ecc.
Fatemi sapere se funzia bene Grazie!

PICCOLI TOOL

Nella digital forensics c'è sempre bisogno di strumenti e idee nuove....
Qui mi son limitato a creare tre piccoli tool, che forse non hanno nemeno un'utilità, però, almeno da un punto di vista didattico, possono esser validi:
FUNDL - File Undeleter - Trattasi di un file bash shell per Linux, (richiede l'uso dello Sleuthkit), che serve a recuperare tutti i files cancellati da un disco o da una sua bitstream image. Qui la Windows version.
JPG_Builder - Trattasi di un bash shell script per Linux, che inserisce l'header ed il footer binari di un'immagine JPG in un file. Questo può servire per tentare di ripristinare qualche JPG corrotta alla quale mancano l'header e/o il footer.
Spywarino - Questo è un programmino per Windows, che sfrutta i pre-compilati di dd, nc per duplicare bit a bit, un disco in rete LAN, senza che il proprietario del disco se ne accorga (chiaramente un monkey user). Utile per duplicare il disco di qualcuno e poi analizzarlo con tutta calma. ;)
Bhè sono tre toollini divertenti...ripeto non so quanto utili...forse FUNDL è quello più utile...ma sicuramente da sviluppare meglio....comunque hanno un valore didattico.

LA FAUNA DELLA COMPUTER FORENSICS

Di Admin (del 16/09/2008 @ 09:07:53, in Computer Forensics, linkato 207 volte)
Come si misura la competenza?
Negli ultimi tempi si è dibattuto parecchio su quello che serve per poter parlare, insegnare o operare nella computer forensics e a mio vedere sono uscite varie realtà:

A) I MEGALOMANI: prima solo di pronunciare le parole "computer forensics" devi:
1) Aver fatto un numero vicino al diametro di Giove di CTU e CTP! Scherzi a parte è un numero ed è sempre imprecisato....forse volutamente....se ne hai fatte 5,10, 100 non si sa ...c'è sempre quello che dice che son poche...la qualità di queste CT? Mha!...non conta...per questi della categoria A, contano solo le "misure" (potremmo ribattezzarli i pornodivi). 2) Devi aver dibattuto in tribunale, sempre per un numero di volte imprecisato, contro gli avvocati più temibili del pianeta, quelli clonati dalle cellule di Bill Gates e Linus Torvald, con un'iniezione di DNA di Perry Mason ed un pò di DNA di cane lupo, insomma figure mitologiche o estremamente rare.
3) Devi aver fatto anni ed anni (sempre per un numero imprecisato) di apprendistato con i grandissimi (grandi è troppo poco) della CF, in pratica quei 4 gatti più famosi, che dovrebbero aprirsi un residence per ospitare tutti i loro apprendisti....ah certo se fai affiancamento ad uno NON conosciuto dai MEGALOMANI, non hai fatto niente....perchè anche chi lavora da anni nel settore non è nessuno se non è "riconosciuto" da uno di loro.
4) Devi aver pranzato, cenato e preso l'aperitivo con un numero imprecisato di PM! Attenzione non basta parlare coi PM, bisogna avere quasi un rapporto intimo, per potersi fregiare di essere un CT completo.
5) Per concludere, devi avere qualche certificazioncina internazionale, completamente inutile, ma che fa tanto fico!

B) I SUPERFICIALI:
1) Categoria diffusissima specialmente in Italia, loro prendono tutto, insegnano, prendono le CT, ne hanno anche tante (per la felicità dei megalomani), ma magari non sanno nemmeno cos'è un codice hash o che il copia ed incolla non è "forense".
2) Loro hanno sempre a che fare con questi "rarissimi" (ironico) AVVOCATI normali, che non capiscono una mazza di Best Practices. e di informatica e che le loro perizie non le contestano mai.
3) Sono tantissimi e spesso si rivolgono ai Megalomani o agli Studiosi (categoria che vedremo in seguito), per chiedere consigli.
4) Tendono spesso ad usare i tool di c.f. più semplici e più costosi, ma di fronte a parole come "offset", ti guardano in maniera interrogativa.

C) GLI STUDIOSI:
1) Categoria poco diffusa, composta da persone che hanno varie esperienze informatiche, hanno studiato molto, usano le best practices e quello che hanno fatto o detto è sempre stato circostanziato e dimostrato o dimostrabile.
2) Hanno poche consulenze, dovute non ad imperizia, ma a opportunità della vita, però quelle poche son sempre state fatte con tutti i crismi e qualità.
3) Hanno la passione per la divulgazione, scrivono sul web, nei forum, sui magazine cartacei, magari si autopubblicano ed hanno un feedback positivo da tantissima gente.
4) In genere non dicono o scrivono cose inesatte (per quanto sempre esseri umani sono), però vengo attaccati dalla cat. A (i megalomani), senza motivi reali o tecnico/scientifici.
5) Già il fatto di aver studiato, scritto, fatto delle CT, ecc. li differenzia da moltissimi altri informatici comuni, NON è da tutti farsi pubblicare sulle riviste, anche se in certi settori ristretti semba essere una cosa normale....Loro per tutto il resto del mondo, e sono tante persone, sono degli esempi, perchè tanti sono informatici, ma pochi hanno fatto anche UNA sola CT o hanno pubblicato qualcosa.
6) Hanno sempre un gran successo quando parlano in pubblico o insegnano, sempre feedback positivi da parte di pubblico eterogeneo, non vengono quasi mai attaccati sui FATTI, ma sempre su concetti fumosi.
7) I loro nemici giurati sono i megalomani, quest'ultimi non sopportano, che qualcuno, che non faccia parte del loro giro, sia ammirato, senza essere mai stato nemmeno una volta a cena con Brian Carrier.....ma che scandalo!Ah però se Brian Carrier o Grundy fanno al "paria" dei complimenti....i megalomani glissano su questo... ;)

CONCLUSIONE:

La computer forensics in Italia è variegata, è fatta da tante realtà diverse, spesso cambiano da procura a procura di città in città.
Alla fine, quelli della categoria B sono quelli che vanno meglio di tutti, lavorano tanto, sono nell'ombra, attingono dalle categorie A e C e nessuno li critica.
Sì perchè quelli della categoria A tendono ad attaccare ferocemente quelli della C, ma a dare dei buffetti paterni a quelli della B, che invece dovrebbero incarnare tutto ciò che loro odiano. Ma chissà cosa odiano realmente quelli della A, forse odiano chi diventa più popolare di loro e non chi fa REALMENTE male il lavoro di CT.

Penso che se uno segue, con rigore scientifico e passione le best practices, si tiene sempre aggiornato, si mantiene sempre sul tecnico, sarà un buon CT, a prescindere dal numero delle sue consulenze....i bit non chiedono i curricula....e l'esperienze sono sempre diverse!
Uno può aver fatto 100 CT a cercar file JPG cancellati....ed un'altro ne ha fatte 5 tutte diverse, tutte con problematiche difficili da risolvere....chi vale di più? Uno può anche non averne fatta nemmeno una di CT però studia e simula nei propri laboratori le casistiche più comuni e quelle più strane....alla fine se riesce ad estrarre i dati da un hard disk di un amico o del proprio laboratorio (chiaramente applicando le best practices), perchè non dovrebbe riuscirci durante una CT? (parlo di un discorso squisitamente tecnico)
Il metodo quello è!
RICORDIAMO che la computer forensics è una disciplina INTELLETTUALE e non sportiva.....l'allenamento e l'esperienza si fanno STUDIANDO, anche da casi gestiti da altri, fa tutto bagaglio di esperienza, magari da sfruttare quando ci si troverà in casi similari.....è tutto nella mente, non nei muscoli!