mercoledì 29 dicembre 2010

Quel maledetto messaggio degli ActiveX!

Da qualche mese avevo un bel problemino, alcune volte, lanciando alcuni programmi, come il gestore della mia stampante HP Director o la finestra dei Servizi di Windows in modalità estesa (Pannello di Controllo --> Strumenti di Amministrazione --> Servizi), mi appariva l'odiosa finestra in pop-up:

E' possibile che uno o più controlli activeX non vengano visualizzati per uno dei motivi seguenti:
1) le impostazioni di protezione correnti non consentono l'esecuzione dei controlli activeX sulla pagina.
2) L'autore di uno dei controlli e stato bloccato.
Di conseguenza, la pagina potrebbe non essere visualizzata correttamente.

La questione non è imputabile alle opzioni di sicurezza dell'Internet Explorer, perchè non ho mai avuto problemi nell'esecuzione e visualizzazione degli ActiveX durante le navigazioni online e poi ho controllato le opzioni di sicurezza è c'era tutto al fine di far eseguire gli ActiveX.

Sembra un problema stupido, ma mi ha fatto letteralmente impazzire, alla fine ho trovato la soluzione:

Clccate su START poi su ESEGUI e scrivete REGEDIT a quel punto posizionatevi sulla chiave di registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\

Troverete un quadratino, poi le sottochiavi 0, 1, 2, 3, 4. Se non è un quadratino sarà qalcos'altro, ma insomma dovete cancellare tutta la zona "parassita", che sembra essere un bug dell'aggiornamento di Adobe Flash Player.

Tutto torna a funzionare a meraviglia!

A questo punto vorrei lanciare degli anatemi....ma meglio lasciar perdere ;)

Nanni Bassetti

giovedì 2 dicembre 2010

DC3 2010 - classificato undicesimo!!!

La DC3 Challenge del Dipartimento della Difesa degli Stati Uniti è una sfida di investigazioni informatiche.

L'anno scorso mi sono classificato 22-esimo nella classifica mondiale ed al QUINTO posto in quella non-U.S.A, (leggi QUI)

Quest'anno, con un minimo impegno di nemmeno 15 gg di lavoro, (poi ho mollato), mi son classificato 11-esimo nella MONDIALE e QUARTO nella NON-U.S.A., usando solo software open source e freeware e quest'anno era tosta davvero!

http://www.dc3.mil/challenge/2010/stats/scoreboard.php

Prize ECC - Civilian
RankTeam NameTeam TypeTeam AffiliationDays OutScore
1Williams Twins ForensicsGroupCivilian661,470
2JUT 3NOUGH G33KGroupCivilian262846
3The ShebangGroupCivilian297822
4NannibIndividualCivilian48790

Overall

RankTeam NameTeam TypeTeam AffiliationDays OutScore
1DFRCGroupGraduate Student1653,297
2LittleTreeIndividualCommercial51,791
3Williams Twins ForensicsGroupCivilian661,470
4LoneWolfIndividualGraduate Student281,132
5Team NameGroupUndergraduate Student3131,129
6462AUSGroupMilitary2461,108
7WriteBlockersGroupGraduate Student54988
8JUT 3NOUGH G33KGroupCivilian262846
9TS CERTGroupCommercial259827
10The ShebangGroupCivilian297822
11NannibIndividualCivilian48790

Chissà perchè ma mi vien voglia di "strombazzare" : - D

lunedì 29 novembre 2010

CAINE International! - bellissimo articolo su Linux Magazine!


C'è poco da dire e tanto di cui essere orgogliosi, sia per il lavoro fatto sia per ilteam, che mi ha aiutato, quando la prestigiosa rivista
ha pubblicato un bell'articolo scritto da Hans-Peter Merkel e Markus Feilner sull'analisi di un sistema compromesso usandoCAINE 2.0.
E qui alcune info sulla rivista:
" Linux Magazine - The magazine for advanced Linux know-how
Linux Magazine is a monthly, English-language magazine serving readers in more than 100 countries. Each article in Linux Magazine is focused on delivering the hands-on, technical
information you need in your daily Linux use. As a bonus, each issue includes a DVD containing a full version of a major Linux distribution.
Linux Magazine has grown from a local UK publication to an internationally-active leader in the Linux Community, supporting events and organizations related to Linux and Open Source.
For more information please visit our website: www.linux-magazine.com"

domenica 21 novembre 2010

Report seminario "Crimini informatici ed investigazioni digitali" Padova 20/11/2010



Il 20/11/2010 il primo dei due seminari organizzati dalla Lunic Service a Piove di Sacco (PD) si è concluso con, ormai lo devo dire senza modestia, il solito successo.
Una 40-ina di persone che ha seguito dalle 9.00 fino alle 18.30 senza mai distrarsi i due interventi.
Ho cominciato io con la parte dedicata alle tecniche di computer forensics, citando sempre le esperienze ed i casi più curiosi.
Una ragione del riscontro positivo costante che continuiamo a ricevere è forse dovuto ad un estremo realismo nel descrivere la situazione in cui si muovono i consulenti tecnici dediti alla digital forensics.
Si parla spesso dei costi, dei software, dell’hardware, delle risorse accessibili a tutti per iniziare, insomma non si parte con il descrivere una simile attività schiacciando i bottoni di mega-macchine e super-software, ma come usare il cervello, i mezzi più abbordabili e un costante invito allo studio ed all’approfondimento con l’ausilio dello scambio e condivisione di conoscenza.
La sessione di Walter Paolicelli è stata molto interessante, dato che si parlava di evoluzione del diritto dal 1978 ad oggi e di come sia cambiata la percezione dei mezzi tecnologici da parte del legislatore.
Inoltre, son stati citati casi famosi e reali, i profili dei cyber-criminali, la figura del consulente tecnico, le differenze tra CTP, CTU e Perito, insomma un intervento “legal” sui generis, molto più dinamico e coinvolgente rispetto agli interventi prettamente giuridici.
Chiudo augurando un in bocca al lupo a Gianni Amato e Denis Fratiper il loro workshop del 27/11/2010, sempre con Lunic e sempre a Piove di Sacco.

venerdì 22 ottobre 2010

XMount finalmente liberi di virtualizzare!


Cosa succede dopo che abbiamo acquisito un disco in bitstream su file immagine?
In genere si comincia l'analisi del disco montando il file dd (raw), ewf o aff, ma ad un certo punto può esser utile virtualizzare l'immagine per tante ragioni, come per esempio lanciare i vari tools della Nirsoft, Sysinternals, lavorare con programmi proprietari istallati sulla macchina acquisita, guardare i processi in corso, ecc. ecc.
Fino a poco tempo fa, i sistemi per virtualizzare un file immagine erano quelli di:

1) Convertire il file in formato VDI o VMDK (VirtualBox o VMWare tanto per citare i due virtualizzatori più diffusi), occupando così altro spazio su hard disk e tanto tempo macchina.
2) Usare l'utilissimo LiveView, che evita la conversione e permette la virtualizzazione partendo direttamente dal file immagine in formato raw (dd).


LiveView però ha delle forti limitazioni:
1) Gira solo sotto Windows.
2) Usa VMWare e l'unica versione gratuita di VMWare server, accettata da LiveView, è rimasta la 1.0.qualcosa....ormai abbastanza vetusta.


Qualche tempo fa il buon Luigi Piciocchi (Caine-from-deb) mi parlò di XMOUNT, subito andai a verificare in maniera superficiale, istallandolo dal repository di Ubuntu e provai ad usarlo, ma non funzionava bene...
Poi ne parlai in chat con John Lehr, che subito dopo ha scritto un post sul suo blog e ieri riparlandone mi ha detto che dovevo scaricare xmount direttamente dal sito dei produttori, dato che quello preso dai repository Canonical (Ubuntu) era buggato.


Quindi ho proceduto in questo modo:
https://www.pinguin.lu/index.php (download del pacchetto DEB)
Controlliamo di avere i requisiti necessari:
Per chi usa Linux - Kernel 2.6.x - FUSE library
Per chi usa Mac OSX - OSX 10.5 or above - MacFUSE


Verificare che il proprio utente (quello che useremo per lanciare la Virtual Machine) sia nel gruppo "fuse" (il root c'è di sicuro).In ogni caso si fa così: sudo usermod -a -G fuse username (dove username è il vostro utente linux) e poi editate il file “/ etc/fuse.conf” e scommentate (togliere il #) la riga user_allow_other.


A questo punto basta creare una directory: es.

sudo mkdir /media/lab


poi lanciare il comando:
sudo xmount --in dd --out vdi --cache cache.dat disk.dd /media/lab
per creare il file disk.vdi nella cartella /media/lab.
Infine lanciamo VirtualBox e creiamo una nuova macchina virtuale, usando come disco il disk.vdi e tutto funziona!

La forza di questo sistema è che il file disk.vdi è solo "simbolico", perchè in realtà non occupa lo spazio che dice di occupare, personalmente ho virtualizzato un file di 200Gb su un disco che ne aveva solo 180Gb liberi.

Chiaramente nell'esempio riportato ho utilizzato un input raw ed un output su VirtualBox, ma potrei anche usare il formato ewf in input ed il formato VMWare in output e/o tutte le altre combinazioni tra VMWare/VirtualBox e i formati dd/ewf/aff.
Ieri pensavo a creare un'interfaccia grafica per XMount, ma John mi ha preceduto, lavorando mentre io dormivo (bella forza per lui era mattina!) e, scherzi a parte, ha realizzato una GUI con YAD, un'evoluzione di Zenity...la potete trovare qui, completa di file deb di xmount 0.4.4 e YAD 0.5.2-1 :

http://scripts4cf.sf.net/


Buon lavoro!
by Nanni Bassetti

martedì 19 ottobre 2010

IPhone recupero file...un gioco di squadra!

Un giorno l' amico Armando Buzzanca mi chiama perchè deve recuperare una nota vocale (un file audio) di un suo amico, che l'ha cancellato per errore dal proprio IPhone.
La vedo difficile, anche perchè col mondo della Mela non ho molto a che fare, quindi si procede per tentativi, non essendo un'attivita forense ma di semplice recupero dati.
Noto subito che l'IPhone non dà accesso a tutti i dati per questo motivo ha bisogno di essere Jailbrekkato, ossia una specie di sblocco che permetterà anche l'istallazione di un'APP chiamata Cydia tramite la quale si potranno scaricare diverse altre applicazioni utili per eseguire l'immgine di tutto l'IPhone su file.
Inizia il gioco di squadra:
Telefono all'amico Nicola Troccoli, che mi suggerisce di collegarmi col Safari dell'IPhone al sito: http://www.jailbreakme.com , ma questo jailbreak non funziona sul firmware 4.01, quindi apro Facebook e chiedo aiuto, tra commenti e chat becco Antonio Di Giorgio che mi suggerisce Limera1n un altro Jailbreak, che questa volta funziona (mi suggeriscono anche GreenPois0n)! Intanto, fioccano i commenti ed i consigli di altri amici.
Riavviato l'IPhone, appare Cydia, dopo aver smanettato un pò, riesco a scaricare ed istallare Mobile Terminal e OpenSSH, a questo punto entra in ballo Linux!
Colleghiamo l'IPhone alla rete WIFi e poi loggandoci nel router vediamo quale indirizzo IP ha preso l'IPhone:
192.168.1.154
Lanciamo CAINE Live su una macchina ed istalliamo il server SSH
sudo apt-get install ssh
poi
sudo /etc/init.d/ssh start per avviare il server SSH. (per approfondimento il libro di Denis)
A questo punto da Caine, montiamo un disco NTFS in scrittura e lanciamo la Terminal Window poi digitiamo:
sudo ssh 192.168.1.154
ci appare il prompt del terminale dell'IPhone, inseriamo le credenziali:
user: root
password: alpine
(sono quelle di default dell'IPhone)
poi digitiamo
dd if=/dev/disk0 | ssh caine@192.168.1.233 dd of=/media/sda1/iphone/iphone.dd
dove 192.168.1.233 è l'IP di Caine collegato anch'esso in rete WiFi.
Adesso il sistema chiederà la password di Caine (dato che deve collegarsi al server SSH di Caine) e quindi digitiamo "caine".
Il dd parte e comincia a scrivere i 16Gb del file immagine nella directory scelta.
ANALISI
Adesso dobbiamo trovare il file della nota vocale, chiamo di nuovo Nicola e mi faccio spedire una nota vocale, il file è prova.m4a
Apro prova.m4a con l'editor esadecimale e tiro fuori l'header:
00 00 00 1C 66 74 ed il footer 00 00 2C

Creo il file foremost.conf
m4a y 8000000 \x00\x00\x00\x1C\x66\x74 \x00\x00\x2C
lancio da Caine:
foremost -c foremost.conf -i iphone.dd -o ./carv
parte il data carving...ed alla fine...non ricaviamo un ragno dal buco!
Adesso non so se è a causa del tipo di file particolare oppure per altri motivi, però provando a cercare JPG, AIFF, MOV il carving è andato a buon fine....quindi il tutto funziona, indagherò ulteriormente per capire come estrarre o montare quel tipo di file immagine.
Il tutto è stato fatto con strumenti gratuiti e manualmente, certamente se avessimo usato un UFED, magari avremmo avuto meno problemi ;)
Il gioco di squadra è stato fondamentale la RETE di aiuti e competenze che si attivano ed io son partito da zero....la stessa sensazione di quando sviluppavo Caine, chat, email, telefono, sembra di essere in un mega team ....REMOTO e tutto si velocizza e si impara.

In fondo, quelli che hanno inventato il calcolo distribuito l'avevano vista giusta...meglio tanti cervelli al lavoro su un problema in parallelo...e senza bisogno di essere nella stessa stanza...!

Non so se questa mia soddisfazione sia giusta o sbagliata, so solo che oggi ho imparato tanto e forse da solo ci avrei messo di più o mi sarei annoiato nel farlo!

Continuiamo a confrontarci ed a scambiarci le conoscenze...si cresce!
Anzi confido nei commenti a questo articolo per continuare a suggerire come agire e migliorare alcuni passaggi di questa procedura ;)
Adesso un pò di note:
The whole shebang:
ssh user@iphone-ip dd if=/dev/rdisk0 bs=1M | dd of=iphone-dump.img

Just the system partition:
ssh user@iphone-ip dd if=/dev/rdisk0s1 bs=1M | dd of=iphone-root.img

Just the user data partition:
ssh user@iphone-ip dd if=/dev/rdisk0s2s1 bs=1M | dd of=iphone-user.img
Se avessimo voluto usare MS Windows al posto di Caine:
PuTTY come client SSH
freeSSHd come server SSH - (create un utente Windows per usarlo come user non loggato in freeSSHd)

by Nanni Bassetti

lunedì 11 ottobre 2010

Riparte il seminario base di Computer Forensics a Bari (10/12/2010)

StudioDelta ripropone il seminario base di tecniche di Computer Forensics a Bari, la data è l'10/12/2010.

Qui tutti i particolari: http://tinyurl.com/342gxoz

sabato 9 ottobre 2010

Report seminario computer forensics Palermo 08/10/2010


Dopo aver passato un 7 Ottobre infernale finalmente il giorno del seminario a Palermo, organizzato da Orsa Consulting e specialmente da Matilde Passantino, è arrivato!
La sede di Orsa è una splendida villa del '700 con ampi spazi e giardini in quel di Mondello a Palermo, bellissima città, clima sereno con temperature comprese tra i 25 e 27 gradi.
Insomma tutto perfetto, l'aula grande ed attrezzata per accogliere le 70 persone che hanno partecipato al seminario, son venute da tutte le parti della Sicilia, ma anche da fuori regione, tutti affamati di cultura ed eventi che, come ben sappiamo noi gente del Sud, spesso mancano nelle nostre zone.
La stima ed il consenso che ricevo ogni volta che tengo questi seminari è sempre un'onda di calore che mi lascia ogni volta stupito ed incredulo, ma mi incoraggia and andare avanti per la strada intrapresa finora, ossia la condivisione della conoscenza, l'open source, l'essere sempre trasparente e mai montare sul piedistallo.
Detto questo, il workshop si è svolto come gli altri, con tante domande, dibattiti ed interesse, fino a giungere all'autografo sugli attestati di frequenza...
Orsa Consulting ha pure fornito un ottimo catering per il pranzo ed una precisione in tutti gli step.
Grazie a tutti ! Avanti così: http://www.cfitaly.net/italiacfi 

martedì 14 settembre 2010

Caine 2.0 è online


Dopo mesi di lavoro finalmente Caine 2.0 è nato!
La distro presenta tante novità, ma andiamo ad elencarle:
1) Mounter GUI (grafici) per chi non ama la console.
2) Patch against: Fake Casper, modifiche del Journal, swap e automounting oltre che il mounting tramite applet avviene su dispositivo loop.
3) Nautilus scripts, una suite di scripts attivabili dal Nautilus al fine di migliorare le preview dei dispositivi ed effettuare delle operazioni "forensi".
4) Bash Scripts tools aggiornati.
5) La distro è INSTALLABILE ed essendo una LTS (Long Term Support) avrà il supporto fino al 2013.
6) altro ancora....
NBCaine 2.0 è ottimo per i NetBook ed include WinTaylor 2.1 (suite per la live forensics sui sistemi Microsoft).
Adesso non rimane che scaricarli: http://www.caine-live.net

venerdì 3 settembre 2010

Creare un SMS dal nulla!

Tempo fa sulla mailing list di CFI ho provato a lanciare l'idea di effettuare un backup degli SMS tramite Nokia PC Suite, modificarne qualcuno e poi effettuare il restore sul telefono, in modo tale da avere un SMS finto che potrebbe essere usato per varie motivazioni (minacce, stalking, alibi, ecc.).
Chiaramente l'idea è una pura speculazione intellettuale/tecnica, visto che sarebbe assurdo affidare tutto un impianto accusatorio/difensivo solo su un sms, sappiamo bene che le indagini devono essere a 360 gradi, però in determinate condizioni di ignoranza, tabulati del gestore telefonico distrutti (perchè fuori dai tempi di data retention), ecc. ecc. potrebbe essere un bel fastidio/vantaggio (a seconda dei punti di vista) .
Inoltre, i tabulati dei gestori telefonici riportano solo il mittente, il destinatario, la data e l'ora, non il contenuto dell'SMS, quindi sarebbe pure ipotizzabile una modifica dell'SMS o una ricreazione ex-novo (mantenendo le stesse coordinate, data, ora, ecc.) sul proprio cellulare, però riportando un testo diverso da quello effettivamente ricevuto.
Da qui sono scaturiti i vari esempi più o meno fantasiosi, però se questo sms fosse stato repertato in un contesto particolare, dove la persona non fosse stata completamente avulsa dai fatti, in qualche modo fosse implicata, l'sms potrebbe gettere ulteriori ombre? Questo sistema quanto influerebbe?
Quanto tempo farebbe perdere? Sarebbe mai sgamato se nessuno si ponesse il problema, che gli sms sul cellulare non sono verbo divino ma possono essere forgiati?
E' indubbio che NON basterà mai un SMS a chiudere un caso, ma è giusto divulgare, che la possibilità di falsificare quest'ultimi c'è, almeno personalmente mi sono posto la domanda e mi sono risposto con la sperimentazione, magari qualcuno più esperto di cellulari mi potrebbe dire che è una cosa
notissima....non so...quindi esempi pratici inattaccabili non me ne vengono in mente, però...il mondo è bello perchè vario, gli errori giudiziari spesso son stati commessi anche basandosi su rilievi tecnico scientifici in seguito rivelatisi errati o imprecisi....quindi...chissà...
Ma veniamo al percorso tecnico, il tutto sperimentato su Nokia 6220 Classic e Symbian 60.
Primo approccio
Ho provato a backuppare solo gli sms con Nokia PC Suite, creando il file .nbu.
1) Apro il file SMSbackup.nbu con un editor esadecimale
2) Cerco un determinato sms
3) Cambio il numero del mittente e la data ed anche una lettera nel messaggio
4) Salvo tutto
5) Faccio il RESTORE da file su telefono.
La PC Suite mi dice che il telefono si riavvierà....attendo... Guardo gli sms e....trovo il vecchio sms col numero suo, il testo non cambiato, la data giusta, ecc. ecc.
Ho provato a cancellare tutti gli sms dal telefono, lasciando solo quello, ho backuppato, ho cancellato tutto dal telefono, ho fatto la modifica con l'esadecimale, ho ripristinato sul telefono...e ...di nuovo LUI! integro...senza alcuna modifica...
Gli sms sono messi con dei campi delimitatori e sono testuali:
BEGIN:VMSG
VERSION:1.1
X-IRMC-STATUS:READ
X-IRMC-BOX:INBOX
X-NOK-DT:20081103T092558Z
BEGIN:VCARD
VERSION:2.1
TEL:+39329111111
END:VCARD
BEGIN:VENV
BEGIN:VBODY
Date:3.11.2008 11:25:58
Ciao Nanni, posso disturbarti 1 min.?
END:VBODY
END:VENV
END:VMSG

Se ci fosse un'altra copia di questo messaggio dovrei trovarla nell'NBU.... cerco usando:
strings -e l SMSBackup.nbu (UNICODE)
strings SMSBackup.nbu (ASCII)
grep -iaob "Nanni" SMSBackup.nbu

Mentre Esplorando il file NBU con NBUExplorer ed ho trovato l'sms originale in un sottocartella che poi ho scoperto far parte delle cartelle private di sistema inaccessibili da PC Suite o da File Mangers sul telefonino a meno di non usare alcuni hacks.

Da quello che ho capito, le info binarie che contengono l'effettivo sms nel file NBU sono codificate in UCS2 ed è molto difficile riuscire a modificarle manualmente, come dicono QUI

Secondo approccio
Se, invece, si fa un particolare hack sui Symbian (S60) si può, usando applicazioni come XPlore, navigare nella cartella Private e lì trovare gli sms già decodificati...magari con XPlore si può modificare...ma io l'hack non l'ho fatto!
Allora oggi ho provato ad istallare sul mio Nokia il programma ActiveFile 1.44 Basic e tra i tools disponibili c'è "Fake SMS", che mi permette di creare ex-novo un sms con i dati: nome mittente, numero di telefono, data ed ora e testo:

Come si vede dall'immagine Barack Obama (ho sbagliato nel scrivere il nome del Mr. President), mi ha scritto dal futuro (data 20/11/2010) visto che oggi siamo al 03/09/2010.
Conclusioni
Credo che sia sempre utile sperimentare ed informare di ciò che si scopre, forse e probabilmente ho scoperto l'acqua calda...ma sinceramente, quanti di voi vedendo un sms metterebbero in dubbio la sua veridicità? Quanti penserebbero ad un editing di un sms vedendolo direttamente sul display di un telefonino? Bhè se siete in tanti allora mi son posto una questione inutile, viceversa spero che questa "sciocchezza" sia utile a qualcuno.
Nanni Bassetti - http://www.nannibassetti.com

lunedì 12 luglio 2010

Essere nelle slides di Brian Carrier non ha prezzo! :)


Il 2 Giugno 2010 ad Atlanta si è tenuta la The Sleuth Kit and Open Source Digital Forensics Conference un importante conferenza sullo Sleuthkit ed il ruolo dell'Open Source software nella Digital Forensics....
Molti relatori importanti come: Brian Carrier (creatore dello Sleuthkit e di Autopsy) e Simpson Garfinkel (AFFlib), l'italiano Dario Forte, Harlan Carvey ed altri.
Tra le slides di Carrier ne ho estratto un paio che mi riempiono di soddisfazione:
Bè che dire? è un onore grandissimo...almeno per me ;)



venerdì 9 luglio 2010

Ancora CAINE in edicola! WinMagazine di Luglio


CAINE è ancora in edicola questa volta su Win Magazine di Luglio 2010, insieme ad uno speciale sulla computer forensics.
Nel mentre stiamo lavorando a Caine 2.0....spero che erediterà tutto il successo della release 1.5 ; - )

Report seminario investigazioni digitali a Bari c/o Studiodelta


Ieri 08/07/2010 ho tenuto il seminario sulle investigazioni digitali organizzato da StudioDelta a Bari, è andato benissimo una 40-ina di partecipanti, che per essere in luglio è già tanto, e un interesse notevole per l'argomento.
Come al solito il pubblico era variopinto, agenti di polizia, consulenti, appassionati, informatici, neofiti e persone che già operano da tempo nel settore...
Il seminario è stato interattivo, come tutti i miei seminari ; - ), ho fatto vedere degli screenshots di Caine 2.0 e abbiamo lanciato Wintaylor 2.0, oltre che aver mostrato un'acquisizione con Air 2.0.0 usando DC3DD col doppio hash e iflag=direct.
Ho permesso di fare un piccolo intervento all'amico Silverio Greco per parlare della costituzione di un possibile listino "prezzi" da sottoporre alle procure al fine di sostituire il meccanismo delle vacazioni (i famigerati 4 euro e rotti all'ora ossia 8 e rotti a vacazione).
Molti contatti, molte strette di mano e molto entusiamo, con idee e pianificazione di altri eventi al SUD e anche al NORD (c'era qualcuno di Pisa e qualcuno di Como). Per ora sono sempre più orgoglioso di aver finalmente portato un pò di questa disseminazione culturale sotto il parallelo di Roma:
Ringrazio Studiodelta, World Wide Crime e gli ordini degli ingegneri che stanno sostenendo l'idea e l'organizzazione di eventi simili nel ns. meridione....è stata dura ma forse abbiamo smosso qualcosa...ricordo ancora che fino ad un paio d'anni fa non c'era molto (per usare un eufemismo) ed ora le cose stanno cambiando...avanti così! : - )

martedì 25 maggio 2010

Primo corso di Caine in Perù

Qualche giorno fa un tale Alonso Caballero Quezada aka ReYDeS (Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA) mi ha contattato per chiedermi il permesso di poter tenere un corso su CAINE 1.5 in Perù tenuto da una società di formazione peruviana.

Oltre al permesso mi ha chiesto la scansione della mia firma da apporre sugli attestati di partecipazione da consegnare agli allievi.

Ecco qui il programma del corso:

http://www.idev.pe/?q=curso-oficial-caine

La cosa mi riempie di gioia ed orgoglio, ma mi rende anche un pò triste pensando a questa nostra Nazione, dove NON si usa la rete per scovare le cose, alla fine alcuni sono più riconosciuti all'estero o fuori dalla propria città, che nel proprio Paese, forse un giorno anche chi si occupa di cercare risorse formative e/o tecniche comincerà ad usare la rete, leggere, informarsi, non solo dalla TV o dai giornali e forse così si apriranno opportunità per tutti e non solo per gli amici degli amici degli amici.... : - )

lunedì 17 maggio 2010

Intervista su Linux Magazine di Giugno 2010


Su Linux Magazine di giugno 2010 c'è uno speciale sull'informatica forense (computer forensics) e su Caine ed anche una bella intervista al sottoscritto...bè son soddisfazioni! :)
PS: i giornalisti spesso esagerano ;)

sabato 24 aprile 2010

Report seminario computer forensics all'Ordine degli Ingegneri di lecce

Oggi 24-Aprile-2010 ho appena terminato il seminario presso l'ordine degli ingegneri di lecce e come per quello di Cosenza è stato un successo!

Mi rendo conto che l'interesse per la digital forensics (informatica forense) è alto, quando si organizzano questi seminari si fa sempre il pienone, ci sono per lo più ingegneri, informatici, ma anche agenti della polizia postale e quasi tutti che seguono molto di ciò che faccio dal web...questo non può che farmi ribadire per l'n-esima volta:

GRAZIE! GRAZIE di dimostrare che il lavoro di divulgazione e sviluppo non è cosa inutile e vana...

Un ringraziamento particolare all'Ing. Cosimo Mazzotta che ha curato l'organizzazione e al presidente dell'ordine degli ing. di lecce e un ringraziamento a tutti coloro con i quali ho parlato e si attiveranno per altre attività formative a 360 gradi : - )

Ad maiora....

Nanni Bassetti

http://www.ordineingegnerilecce.it/eventi/corsoinffor_20100424.pdf

Relatore: Dott. Nanni Bassetti

giovedì 15 aprile 2010

Corso di Computer Forensics e laboratorio a BARI

Dopo il successo ottenuto a Catania, siamo finalmente riusciti ad organizzare il

Corso e Laboratorio di Sicurezza Informatica e Computer Forensics

a Bari dal 4 al 7 Maggio-2010, l'organizzazione è stata curata da Ugo Lopez, che ha trovato un'ottima location nel verde, creando anche un connubio tra il "sociale" e l'open source.

Per maggiori informazioni cliccate QUI.

martedì 30 marzo 2010

Corso Computer Forensics a Bari presso Studiodelta

Oggi ho cominciato con la prima lezione di questo corso QUI : - )

Ottimi alunni !

sabato 20 marzo 2010

Caine su Linux magazine di Aprile 2010



Caine su Linux magazine di Aprile ; - )
Bella recensione ed è inclusa sul DVD allegato alla rivista ; - )

sabato 6 marzo 2010

Report Corso di Sicurezza informatica e computer forensics a Catania




Dopo innumerevoli ritardi aerei giungo a Catania il giorno 01/03/2010 e Gianni mi viene a prendere all'aeroporto, nel raggiungere l'hotel comincio ad apprezzare la splendida cittadina siciliana e pregusto l'inizio del corso che si svilupperà nei 4 giorni successivi.
L'albergo è molto elegante e la sala è bella, con un soffitto affrescato ed un'atmosfera molto accogliente, penso subito che sarà utile a creare un ambiente amichevole e rilassato.
Il primo giorno inizia Gianni Amato parlando di sicurezza informatica operativa, sciorinando casi reali e contromisure reali, non la solita teoria macroscopica e spesso incomprensibile, il tutto inframmezzato da interventi degli alunni e del sottoscritto, in modo da realizzare un flusso di informazioni che si adattava di volta in volta e che spaziava dalla sicurezza alla forensics dinamicamente.
Subito inizia un primo esercizio pratico, dove si cerca di attaccare un sito simulato, in seguito si analizza un malware, poi parto io con una serie di esercizi di attacco a delle web applications con livelli successivi di difficoltà, il tutto sempre condito da teoria, discussioni, confronti, ecc.
Il corso continua a pranzo, a cena, dopo cena, insomma si crea una vero gruppo di lavoro e di amicizia tra i docenti e gli alunni (tutti molto preparati e provenienti da realtà medio/grandi), questo tipo di "convivenza" docente con alunno ha trasformato il corso in un qualcosa di diverso, una full immersion umana e tecnica, un vero e proprio bootcamp, lasciando profondamente soddisfatti tutti, sia i docenti sia i discenti, poichè corsi così "sbottonati", a detta degli astanti, non sono così diffusi. Durante la mia sessione ho parlato di computer forensics teorica e pratica, ho illustrato le acquisizioni da Windows con FTK Imager e write blocker software e da Caine con AIR 2.0.0 e con Guymager e da riga di comando, poi Autopsy, carving, editor esadecimale, ecc. La cosa bella era che per ogni argomento provavamo l'applicazione PRATICA facendo fare e non solo facendo ascoltare, questa parte di laboratorio è stata molto apprezzata.
L'ultimo giorno è partito Walter Paolicelli che si è occupato di Legge 48/2008, codici di procedura penale, criminal profiling, ma molto belle sono state le discussioni avute sull'intepretazione giuridica del metodo scientifico e di altre obiezioni possibili in aula, oltre che di quanti errori di valutazione ci sono nella scelta di un consulente tecnico, dovuti all'ingnoranza, allo scarso uso della rete per fare ricerca sulle persone qualificate e su come i media spesso facciano parlare gente blasonata che però spesso non è edotta sull'argomento di cui si sta dibattendo.
Insomma, il corso è stato un successo, è nato sulla rete, organizzato da gente della rete, seguito da persone della rete...la rete un grande mezzo che fornisce a tutti la possibilità di scegliersi e di scegliere, speriamo che sarà utilizzata sempre di più nel futuro, anche e specialmente per chi vuole portare e/o creare cultura in logistiche spesso e troppo abbandonate dal resto del mondo.

domenica 28 febbraio 2010

Report convegno Computer Forensics a cosenza

Ieri 27/02/2010 ho tenuto il seminario sulla computer forensics a cosenza pressol'ordine degli ingegneri.

Appena arrivato mi son trovato di fronte l'aula stracolma erano almeno 100 persone di tutte le età pronte a sciropparsi 6 lunghe ore dedicate a questa disciplina.

Sono stato presentato in maniera straordinaria, facendomi sentire come una rock star, ho scoperto che tanti mi seguivano da tempo, sia sul blog sia sulla mailing list di CFI, qualcuno dai tempi del mio corso di ASP e molti a causa della distrbuzione CAINE.

Dopo circa un'oretta dall'inizio una giornalista del "Quotidiano della Calabria" mi ha "sequestrato" per potermi intervistare privatamente, l'evento è andato liscio, dinamico, senza alcun sbadiglio, anzi con tante domande ed hanno tirato fino alla fine!

Ho parlato diffusamente delle best practices, la hash collision, gli aneddoti legati allo svolgimento delle operazioni, le CTP e le CTU, e di CAINE, ringraziando sempre Giancarlo Giustini che iniziò il progetto ed esaltando l'Open Source che peremette anche i passaggi di mano e/o le modifiche ai software (come è successo con AIR ), ho parlato delle collaborazioni proficue con tutti gli amici di sempre e quelli nuovi (da Denis a Maxim, ecc.), insomma una carrellata di argomenti tecnici e umani che ha generato vari spunti di riflessione.

Non mi rendevo conto di quanta gente ci/mi segue, di quanti sono grati di tutto il lavoro di divulgazione gratuita, dei prodotti software realizzati, della disponibilità sempre mostrata...un evento come quello di ieri mi ha fatto capire, che dal 2005 ad oggi le cose sono molto cambiate e che la Rete è un grande mezzo, è un sistema che permette di esprimerti e farti valutare, senza necessariamente aver lavorato per le mega aziende, aver conseguito 100 certificazioni costose, aver frequentato nomi noti o aver vissuto in città importanti...quindi, ancora una volta, GRAZIE A TUTTI per il sostegno e la stima. : - )
Un ringraziamento particolare all'Ing. Emilio Malizia ed all'Ing. Giuseppe Spina ;)

giovedì 18 febbraio 2010

AIR 2.0.0 (Automated Image and Restore) is online!


"A new version of AIR has been released. The primary change is that it now supports the dc3dd imager and doing 2 hashing algorithms. Thanks to Dr. Nanni Bassetti for his modifications and feedback that made this release possible. As always, feedback and comments appreciated."
These are the comments of Steve Gibson on SourceForge.net for the launch of the new release of
AIR (Automated Image and Restore).


I remember when I used for the first time this precious and useful GUI for the DD and DCFLDD, it was the 2005...me and thousands of people have loved it...and in the 2010 I am in the development team, because I just modified AIR changing DCFLDD with DC3DD, double hashing and iflag setting.
I was very happy that Steve has appreciated my starting changes and then he worked to tune and fix the final release of AIR 2.0.0

Special thanks to the Beta Testers:
Stefano Menozzi (very deep testing)
and
Raffaele Colaianni

domenica 14 febbraio 2010

Doppia vita, il mondo reale e la Rete

Premessa: questo articolo nasce da una serie di esperienze vissute e raccontatemi da molti...spero di essere riuscito a comunicare quello che spesso, anche ridendo, molti di "noi" hanno incontrato nella loro vita.

Mi trovo spesso a chiedermi se quello che percepiamo in rete sia legato alla realtà oppure
è tutto un grande videogame di simulazione, dove siamo tutti degli alter-ego di noi stessi, degli avatar
(anche questa parola adesso è di pubblico dominio solo per il film di Cameron, ma per chi vive la Rete è
come se fosse la parola "mela" o "pera").
Sulla Rete si pubblicano pensieri, prodotti, servizi, documenti, si interagisce, si creano delle comunità,
si diventa dei "guru" o semplici fruitori passivi (lurkers), degli entusiasti o dei detrattori, si creano le correnti pro e contro qualcosa o qualcuno, nascono amori ed odi, invidie ed adorazioni, fino al culto delle personalità.

Sulla rete nascono movimenti d'opinione, (ricordiamo il "popolo viola"), blog di protesta, messaggi d'odio e contro, messaggi pro, ma sembra che fino a quando queste cose non si manifestino fisicamente, con i corpi che si muovono in qualche piazza, i media e la gente "distratta", le gente che "non ho mai tempo per il web", la gente che "io navigo pochissimo", la gente che "io non uso facebook", la gente che "mi occupo d'altro", non se ne accorgano, non sanno o fanno finta di non sapere, quelli della Rete NON esistono.

Ci sono molte persone che hanno una moltitudine di estimatori, che producono tanto online, sono leader in alcuni settori, sono conosciuti anche all'estero, i loro prodotti e/o servizi e/o nomi sono pubblicati su libri, riviste online e cartacee, si interfacciano con le personalità più di spicco del settore in cui operano, personalità internazionali e nazionali...sulla Rete sono un punto di riferimento, sono visti, a volte impropriamente, come dei veri guru del settore.

Alcuni di questi riescono a passare, come per osmosi, dal mondo virtuale a quello reale, ricevendo le giuste e meritate gratificazioni, altri rimangono PROFETI online e NESSUNO nella realtà, giusto per traslare il detto latino "Nemo profeta in patria".

Come mai in alcune realtà, Enti, Aziende, ecc., chi sta nella stanza dei bottoni, continua ad ignorare completamente la rete? Come mai continuano a scegliere di collaborare con persone che hanno al loro attivo solo qualche conoscenza "locale", che sono conosciuti a malapena nella loro città? Città....un concetto che per un abitante della Rete è come parlare di un granello di sabbia...chissenefrega di quei quattro punti di riferimento della propria città?
Se hai appena finito di collaborare con con calibri d'oltreoceano, ricevi offerte di lavoro da aziende internazionali, aiuti molti via e-mail, ricevi molti complimenti sul tuo blog, il tuo ultimo articolo è stato appena pubblicato su una prestigiosa rivista, in alcuni posti si parla di te senza che neppure tu ne sia a conoscenza....chissenenfrega se non conosci il Dott. Rossi o l'Assessore Verdi o il prof. Bianchi...ma che sono queste robette?
Perchè queste robette hanno ancora così tanto peso?

La risposta è forse da ricercare nelle scarse competenze di chi deve selezionare, magari non è del settore, non usa internet per fare scouting, non sa discernere tra ciò che è pregiato e ciò che è dato solo da "nepotismi" ed "amicizie", questo perchè non si insegna a saper valutare, si sottovaluta la rete, fa più figo uscire sul "Gazzettino di Paperopoli" piuttosto che essere su Wikipedia o a volte il "Gazzettino di Paperopoli" non si interessa nemmeno a fenomeni locali, quando sono anche segnalati da giornali o agenzie nazionali.

Questo ci fa capire come siamo ancora un "villaggio", una comunità di provinciali, di donnette da pianerottolo...quindi ci connettiamo alla Rete e cominciamo a vivere ognuno il proprio "Pianeta Pandora" personale, ma appena ci scolleghiamo, torniamo ad essere i signori nessuno, nel mondo delle strette di mano, degli occhiolini, del io conosco Tizio e quando tentiamo di spiegare chi conosciamo, può capitare che i nostri interlocutori potrebbero guardarci come si guarda uno che sta parlando Klingoniano...

Qui dalla Rete è tutto...sconnessione in corso...back to the Trashworld!