venerdì 22 ottobre 2010

XMount finalmente liberi di virtualizzare!


Cosa succede dopo che abbiamo acquisito un disco in bitstream su file immagine?
In genere si comincia l'analisi del disco montando il file dd (raw), ewf o aff, ma ad un certo punto può esser utile virtualizzare l'immagine per tante ragioni, come per esempio lanciare i vari tools della Nirsoft, Sysinternals, lavorare con programmi proprietari istallati sulla macchina acquisita, guardare i processi in corso, ecc. ecc.
Fino a poco tempo fa, i sistemi per virtualizzare un file immagine erano quelli di:

1) Convertire il file in formato VDI o VMDK (VirtualBox o VMWare tanto per citare i due virtualizzatori più diffusi), occupando così altro spazio su hard disk e tanto tempo macchina.
2) Usare l'utilissimo LiveView, che evita la conversione e permette la virtualizzazione partendo direttamente dal file immagine in formato raw (dd).


LiveView però ha delle forti limitazioni:
1) Gira solo sotto Windows.
2) Usa VMWare e l'unica versione gratuita di VMWare server, accettata da LiveView, è rimasta la 1.0.qualcosa....ormai abbastanza vetusta.


Qualche tempo fa il buon Luigi Piciocchi (Caine-from-deb) mi parlò di XMOUNT, subito andai a verificare in maniera superficiale, istallandolo dal repository di Ubuntu e provai ad usarlo, ma non funzionava bene...
Poi ne parlai in chat con John Lehr, che subito dopo ha scritto un post sul suo blog e ieri riparlandone mi ha detto che dovevo scaricare xmount direttamente dal sito dei produttori, dato che quello preso dai repository Canonical (Ubuntu) era buggato.


Quindi ho proceduto in questo modo:
https://www.pinguin.lu/index.php (download del pacchetto DEB)
Controlliamo di avere i requisiti necessari:
Per chi usa Linux - Kernel 2.6.x - FUSE library
Per chi usa Mac OSX - OSX 10.5 or above - MacFUSE


Verificare che il proprio utente (quello che useremo per lanciare la Virtual Machine) sia nel gruppo "fuse" (il root c'è di sicuro).In ogni caso si fa così: sudo usermod -a -G fuse username (dove username è il vostro utente linux) e poi editate il file “/ etc/fuse.conf” e scommentate (togliere il #) la riga user_allow_other.


A questo punto basta creare una directory: es.

sudo mkdir /media/lab


poi lanciare il comando:
sudo xmount --in dd --out vdi --cache cache.dat disk.dd /media/lab
per creare il file disk.vdi nella cartella /media/lab.
Infine lanciamo VirtualBox e creiamo una nuova macchina virtuale, usando come disco il disk.vdi e tutto funziona!

La forza di questo sistema è che il file disk.vdi è solo "simbolico", perchè in realtà non occupa lo spazio che dice di occupare, personalmente ho virtualizzato un file di 200Gb su un disco che ne aveva solo 180Gb liberi.

Chiaramente nell'esempio riportato ho utilizzato un input raw ed un output su VirtualBox, ma potrei anche usare il formato ewf in input ed il formato VMWare in output e/o tutte le altre combinazioni tra VMWare/VirtualBox e i formati dd/ewf/aff.
Ieri pensavo a creare un'interfaccia grafica per XMount, ma John mi ha preceduto, lavorando mentre io dormivo (bella forza per lui era mattina!) e, scherzi a parte, ha realizzato una GUI con YAD, un'evoluzione di Zenity...la potete trovare qui, completa di file deb di xmount 0.4.4 e YAD 0.5.2-1 :

http://scripts4cf.sf.net/


Buon lavoro!
by Nanni Bassetti

martedì 19 ottobre 2010

IPhone recupero file...un gioco di squadra!

Un giorno l' amico Armando Buzzanca mi chiama perchè deve recuperare una nota vocale (un file audio) di un suo amico, che l'ha cancellato per errore dal proprio IPhone.
La vedo difficile, anche perchè col mondo della Mela non ho molto a che fare, quindi si procede per tentativi, non essendo un'attivita forense ma di semplice recupero dati.
Noto subito che l'IPhone non dà accesso a tutti i dati per questo motivo ha bisogno di essere Jailbrekkato, ossia una specie di sblocco che permetterà anche l'istallazione di un'APP chiamata Cydia tramite la quale si potranno scaricare diverse altre applicazioni utili per eseguire l'immgine di tutto l'IPhone su file.
Inizia il gioco di squadra:
Telefono all'amico Nicola Troccoli, che mi suggerisce di collegarmi col Safari dell'IPhone al sito: http://www.jailbreakme.com , ma questo jailbreak non funziona sul firmware 4.01, quindi apro Facebook e chiedo aiuto, tra commenti e chat becco Antonio Di Giorgio che mi suggerisce Limera1n un altro Jailbreak, che questa volta funziona (mi suggeriscono anche GreenPois0n)! Intanto, fioccano i commenti ed i consigli di altri amici.
Riavviato l'IPhone, appare Cydia, dopo aver smanettato un pò, riesco a scaricare ed istallare Mobile Terminal e OpenSSH, a questo punto entra in ballo Linux!
Colleghiamo l'IPhone alla rete WIFi e poi loggandoci nel router vediamo quale indirizzo IP ha preso l'IPhone:
192.168.1.154
Lanciamo CAINE Live su una macchina ed istalliamo il server SSH
sudo apt-get install ssh
poi
sudo /etc/init.d/ssh start per avviare il server SSH. (per approfondimento il libro di Denis)
A questo punto da Caine, montiamo un disco NTFS in scrittura e lanciamo la Terminal Window poi digitiamo:
sudo ssh 192.168.1.154
ci appare il prompt del terminale dell'IPhone, inseriamo le credenziali:
user: root
password: alpine
(sono quelle di default dell'IPhone)
poi digitiamo
dd if=/dev/disk0 | ssh caine@192.168.1.233 dd of=/media/sda1/iphone/iphone.dd
dove 192.168.1.233 è l'IP di Caine collegato anch'esso in rete WiFi.
Adesso il sistema chiederà la password di Caine (dato che deve collegarsi al server SSH di Caine) e quindi digitiamo "caine".
Il dd parte e comincia a scrivere i 16Gb del file immagine nella directory scelta.
ANALISI
Adesso dobbiamo trovare il file della nota vocale, chiamo di nuovo Nicola e mi faccio spedire una nota vocale, il file è prova.m4a
Apro prova.m4a con l'editor esadecimale e tiro fuori l'header:
00 00 00 1C 66 74 ed il footer 00 00 2C

Creo il file foremost.conf
m4a y 8000000 \x00\x00\x00\x1C\x66\x74 \x00\x00\x2C
lancio da Caine:
foremost -c foremost.conf -i iphone.dd -o ./carv
parte il data carving...ed alla fine...non ricaviamo un ragno dal buco!
Adesso non so se è a causa del tipo di file particolare oppure per altri motivi, però provando a cercare JPG, AIFF, MOV il carving è andato a buon fine....quindi il tutto funziona, indagherò ulteriormente per capire come estrarre o montare quel tipo di file immagine.
Il tutto è stato fatto con strumenti gratuiti e manualmente, certamente se avessimo usato un UFED, magari avremmo avuto meno problemi ;)
Il gioco di squadra è stato fondamentale la RETE di aiuti e competenze che si attivano ed io son partito da zero....la stessa sensazione di quando sviluppavo Caine, chat, email, telefono, sembra di essere in un mega team ....REMOTO e tutto si velocizza e si impara.

In fondo, quelli che hanno inventato il calcolo distribuito l'avevano vista giusta...meglio tanti cervelli al lavoro su un problema in parallelo...e senza bisogno di essere nella stessa stanza...!

Non so se questa mia soddisfazione sia giusta o sbagliata, so solo che oggi ho imparato tanto e forse da solo ci avrei messo di più o mi sarei annoiato nel farlo!

Continuiamo a confrontarci ed a scambiarci le conoscenze...si cresce!
Anzi confido nei commenti a questo articolo per continuare a suggerire come agire e migliorare alcuni passaggi di questa procedura ;)
Adesso un pò di note:
The whole shebang:
ssh user@iphone-ip dd if=/dev/rdisk0 bs=1M | dd of=iphone-dump.img

Just the system partition:
ssh user@iphone-ip dd if=/dev/rdisk0s1 bs=1M | dd of=iphone-root.img

Just the user data partition:
ssh user@iphone-ip dd if=/dev/rdisk0s2s1 bs=1M | dd of=iphone-user.img
Se avessimo voluto usare MS Windows al posto di Caine:
PuTTY come client SSH
freeSSHd come server SSH - (create un utente Windows per usarlo come user non loggato in freeSSHd)

by Nanni Bassetti

lunedì 11 ottobre 2010

Riparte il seminario base di Computer Forensics a Bari (10/12/2010)

StudioDelta ripropone il seminario base di tecniche di Computer Forensics a Bari, la data è l'10/12/2010.

Qui tutti i particolari: http://tinyurl.com/342gxoz

sabato 9 ottobre 2010

Report seminario computer forensics Palermo 08/10/2010


Dopo aver passato un 7 Ottobre infernale finalmente il giorno del seminario a Palermo, organizzato da Orsa Consulting e specialmente da Matilde Passantino, è arrivato!
La sede di Orsa è una splendida villa del '700 con ampi spazi e giardini in quel di Mondello a Palermo, bellissima città, clima sereno con temperature comprese tra i 25 e 27 gradi.
Insomma tutto perfetto, l'aula grande ed attrezzata per accogliere le 70 persone che hanno partecipato al seminario, son venute da tutte le parti della Sicilia, ma anche da fuori regione, tutti affamati di cultura ed eventi che, come ben sappiamo noi gente del Sud, spesso mancano nelle nostre zone.
La stima ed il consenso che ricevo ogni volta che tengo questi seminari è sempre un'onda di calore che mi lascia ogni volta stupito ed incredulo, ma mi incoraggia and andare avanti per la strada intrapresa finora, ossia la condivisione della conoscenza, l'open source, l'essere sempre trasparente e mai montare sul piedistallo.
Detto questo, il workshop si è svolto come gli altri, con tante domande, dibattiti ed interesse, fino a giungere all'autografo sugli attestati di frequenza...
Orsa Consulting ha pure fornito un ottimo catering per il pranzo ed una precisione in tutti gli step.
Grazie a tutti ! Avanti così: http://www.cfitaly.net/italiacfi