Most Popular PASSWORD

Dec 302011

“Before to cry… TRY!!!”

.

POPULAR PASSWORDS

(FROM: http://www.ic3.gov/media/2011/111229.aspx)

An Internet site who manages passwords recently posted an article pertaining to the lack of secure passwords being utilized which may be a factor in data breaches — past, present, and future. One reason for the lack of security is the amount of passwords a user is required to remember to access the many databases, applications, multiple networks, etc., used on a daily basis. Sharing passwords among users in a workplace is becoming a common theme to continue the flow of operations. Users have prioritized convenience over security when establishing passwords.

The article provided a list of millions of stolen passwords posted on-line by hackers and ranked the top 25 common passwords.

password
123456
12345678
qwerty
abc123
monkey
1234567
letmein
trustno
dragon
baseball
111111
iloveyou
master
sunshine
ashley
bailey
passw0rd
shadow
123123
654321
superman
qazwsx
michael
football

IISFA “NEWSLETTER LIST 6″

A Lifestyle 4 Responses »

Nov 252011

Potete scaricare la nuova uscita qui.

Oltre alla “DEFT” di Stefano Fratepietro potete trovare un test di “Fuzzy Hashing” applicato alle immagini.

Consiglio anche la lettura del racconto dell’ultimo CYBERCOP (2011) che da un’idea del lavoro svolto dietro le quinte dai vari organizzatori .

Buona Lettura.

FTK 3.4.1: UNC ERROR

Software 2 Responses »

Nov 182011

FIXED (21/11/2011):

The PostgreSql start as “Local Service” and use this RIGHT to do all in the PC. In the share where you put the “CASE FOLDER” you must set: SYSTEM – FULL CONTROL

Folder: \\10.X.XX.25\case

ACL SHARING:

TICKET CLOSE.

————————————————————————————————————————

ISSUE (18/11/2011)

Environment:

OS: Windows 7 64BIT
DB: POSTGRESQL (64BIT) 9.0
MS Framework 4.0
New install and all in one PC.

ISSUE:

When i create a NEW CASE with UNC path i get an error:

UNC PATH: \\10.XX.XX.25\case

Solution: USE ABSOLUTE PATH!!!

BUT on DPE i got this error:

Workaround: after the case is create with absolute path, change it in UNC. It work at 100%.

Steve Jobs, 1955 – 2011

A Lifestyle No Responses »

Oct 062011

R.I.P.

Coming soon: TEST on FTK 3.4.1

Software No Responses »

Sep 142011

Dopo 3 mesi di piena attività mi concedo finalmente una pausa per aggiornare il BLOG con i nuovi appuntamenti e ripartiamo con la nuova versione di FTK (3.4.1) che annuncia modifiche sostanziali dato il cambio di DB. Da Oracle a PostgreSQL gia portato nella 3.4.

TEST:

1) Confronto diretto fra la versione 3.3 e 3.4.1 per capire come si comporta in nuovo DB.

2) Upgrade dei “vecchi case” dalla versione 3.3 alla 3.4.1 per capirne il gradi di affidabilità.

4) “New Futures” della versione 3.4.1

Una giornata di ordinaria follia forense.

A Lifestyle 1 Response »

Jul 212011

Sono le 20:30 e finalmente varco la porta di casa.

Mi ci vogliono 15 minuti per scaricare tutto il materiale e riportarlo in lab. E’ finita? NO. Devo lanciare la copia del disco e verificare l’integrità di quelle fatte. Ma… forse è meglio che mangi? Sono in piedi dalle 4.

Iniziamo con ordine.

CYBERCOP2011 – Pictures Story

A Lifestyle No Responses »

Jun 242011

…the real true story of my trip.

Special Thanks to: Luigi, Riccardo and Andrea (the Winner Team) and Marco (who choose the Hotel LOL).

06/05/2011

The City (MILAN)

CYBERCOP 2011: i reali vincitori

A Lifestyle No Responses »

May 162011

(Lettura in chiave diversa di una bella manifestazione. Onori e glorie alle squadre che hanno partecipato e ai vincitori).

Si è appena conclusa l’edizione n°4 del CYBERCOP con la vittoria del TEAM “NOROC!” (Luigi, Riccardo, Matteo e Renato) che ha avuto la meglio (di poco) sul TEAM capitanato dal caro Mattia. Sono molto contento per Luigi e Riccardo che da diversi anni condividono la passione per la FORENSICS. Trovarsi nella vetta (la seconda volta per Luigi) è una grande soddisfazione che ripaga di tante notti insonni. Il proseguo non cambia ma almeno da una grande carica.

(Da sinistra: Giuseppe,Riccardo, Matteo e Luigi)

Molto particolare si è dimostrata questa edizione, sostanzialmente tutta sul CLOUD con una “simpatica” incursione in “Second Life” brillantemente preparata da PILA (Quanto ci è “costata” quell’AVATAR???). Io e Rebus ci siamo cimentati un po’ sul PHISING (lui) e sull’IPHONE (io). Max e Giuseppe hanno seguito e coordinato la parte tecnica sistemando i vari dettagli. Solo Giuseppe e Max (conoscono) tutto il gioco, noi ( Io, Pila e Rebus) solo le parti che noi sviluppiamo in totale autonomia.

“Ma alla fine chi ha realmente vinto?“.

Noi (Giuseppe, Max, Io, Pila e Rebus… e siamo stati pure premiati!!!).

“Voi???”

Si, abbiamo proprio vinto noi perchè a conclusione del dibattimento grazie al bravo Stefano e il suo consulente Francesco nessuno è stato incriminato. Tutti liberi. Pure io che ad un certo punto sono stato sentito come “persona informata sui fatti“.

“E come avete fatto?”

Beh, giocavamo in casa, conoscevamo gli avversari ed eravamo “raccomandati” dal Sig. TEMPO . Già, alla fine il Cybercop è alla portata di tutti visto l’elevato livello tecnico ed investigativo messo in campo. Solo la mancanza di tempo decide le sorti del vincitore.

E allora godiamoci il nostro premio (noi)… anche in questo caso è stato il TEMPO a farcelo assegnare (non abbiamo fatto in “tempo” a cancellare delle mail usate per l’organizzazione del gioco!!!).

CYBERTAPIRO 2011

A ritirarlo… pochi eletti!!!

(Da sinistra: Rebus, Mazzaraco e Piccin)

Mancano PILA e MAX ma va bene lo stesso.

Oracle Install Error 27557 FTK3.X

Software No Responses »

May 052011

A day (bad day) you decided to re-install your version of FTK3.X

“What you need to do for survive?”

For FTK3 there isn’t any problem… for Oracle can be a hell.

First of all: by add/remove Wizard remove FTK3/Local Engine and Oracle.

Second step for prevent error 27557:

->Delete this key of registry: HKEY_LOCAL_MACHINE\Software\ORACLE\

->Delete this Directory: C:\Program Files\Oracle\

->Delete this Directory: C:\Oracle (Default Installation)

->Under this key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Delete all keys that start with: Oracle….

-> If you are using an’ISO image mounted with “Daemon Tools” disable the physical CD/DVD ROM:

->If you got again the Error 27557 then check the logs<-

FTK 3.3 & FTK IMAGER 3.01

Software No Responses »

Apr 162011

FTK IMAGER 3.0.1

A nice fix:

“Resolved file name issue that caused E01 files that were created in FTK Imager
to fail during import into EnCase. (56047)”

News:

“Improved handling of Apple partition maps (54804)”

FTK 3.3

Nice to know:

“FTK 3.3 does not carve container files. Safari cache.db files are container files. (54453)”.

“The processing Engine has to be manually stopped on 3.1 before 3.2 can be run and vice-versa. They can be installed at the same time, but only one can run at a time. FTK will get an error in the processing dialog if the wrong DPE is running. (21233)”.

“The Oracle database must be installed on a machine whose name begins with a letter (a-z and A-Z)number”.

“When exporting folders and their contents, you should always select the folder to be exported from the file list view instead of from the explore tree in order to export the contents correctly. (53627)”.

“FTK now carves SQLite databases in order to recover deleted data that they might contain. Due to this change, users will likely see duplicate files if they choose to carve SQLite databases in addition to expanding them. (54453, 55292)”.

News:

“Upon completion of an export job, the export destination folder will now automatically
open up in Windows Explorer to show you the files / folders exported. (55773)”.

“Enhanced export functionality to handle export destination paths of more than 248
characters in length. (54302)”.

“The New Case Wizard and Additional Analysis dialog box now allow the user to “Do not find find deleted items”. Deleted files will be discovered and processed by default. (44322)”.

“At the root of each case folder you will now find a file called EvidenceHistory.log”

“New columns added in the file list view for MS Office metadata properties of “Last SavedBy” and “Author”. (54704)”.

FIX:

“Case Reviewers are no longer able to see or to know how many items have been marked privileged. (52836)”.

“FTK does not support processing evidence images of HFS+ file systems that have a sector size greater than 512 bytes. (52734)”.

Ciao Mario/Goodbye Mario

A Lifestyle No Responses »

Apr 082011

“Ciao Mario… buon viaggio… Saluta Suor Teresa“.

“Bye Mario… have a nice trip.. Greets Sister Teresa“.

COPIA DI BACKUP

Software No Responses »

Apr 032011

Questo POST nasce come commento al recente articolo scritto per IISFA e pubblicato sulla newsletter. Parliamo di “copia” della “copia” ovvero della cosidetta copia di “backup” delle evidenze vitale nel caso in cui il supporto su cui è contenuta la nostra copia per le analisi si guasti.

A corredo vi è anche il commento del caro amico l’Avvocato Antonino Attanasio che, codice “alla mano”, precisa che al termine della Consulenza/Perizia il tutto deve essere consegnato e il superfluo distrutto.

Qualunque sia la decisione sulla destinazione delle copie, ho voluto focalizzare la mia attenzione sugli strumenti per farle. Alla fine è solo una copia ma quello che conta è che il “backup” sia consistente ovvero sia uguale all’originale.

Fino a qualche anno fa parlavamo di GB, ora parliamo di TB. Questi dati, per questioni di semplicità, vengono copiati solitamente via “CIFS” su sistemi “NAS” (la cui velocità dipende dalle meccaniche). Quindi, a meno che non abbiate a disposizione una rete da 10Gb con un NAS da un centinaio di meccaniche direi che la soluzione più veloce è usare il NAS solo come appoggio (“parcheggiate” li le evidenze in attesa di elaborazione).

“Ma che software usare?”

Non entro nel merito in questo post ma deve fare quello che mi aspetto che faccia: una copia consistente ovvero uguale alla sorgente.

“E’ possibile che durante una copia via rete si corrompa qualcosa?”

Si, è possibile in quanto mi è capitata spesso e solo da poco ho capito il motivo: lo SWITCH da 1Gb andava in surriscaldamento dopo 40 minuti di copia.

“Copie su nastro?”

E’ un’alternativa lenta ma da tenere in considerazione. Le capienze dei nastri con LTO5 arrivano oltre 1TB (non considerate la compressione) con costi per i nasti accettabili. I dati possono essere scritti in forma CRIPTATA (cosa da non sottovalutare) e si fa carico il programma di BACKUP di verificare la consistenza dei dati scritti. Il tutto poi viene gestito attraverso un “DataBase” ed è quindi tutto molto più semplice quando devo recuperare qualcosa.

Naturalmente tutto a discapito di:

Costo del Lettore (eccessivo).
Velocità del processo (parliamo di molte ore).
Dubbio: copia semplice o doppia copia?

Le soluzioni ci sono e sono diverse ma… qualcuno si è mai posto tale problema?

Open Source? No thanks, we only develop it!

A Lifestyle No Responses »

Mar 262011

Friend: “Hi Litiano, how are you? are you fine?”

LP: “Sure, i am ok… I am testing a new Software this week. Any news?”

Friend: “I have a GOSSIP for you….”

LP: “Really? Let me know….”

Friend: “Do know XXX, they have a new work on YYY”
Friend: “You know, they are development an’open source program!!!”

LP: “….hehehe…let me guess… they are using Encase for the case….”

Friend: “YES, how you know?”

I KNOW MY CHICKEN.

FTK3 OPTIONS ON LIVE/INDEX SEARCH

Software No Responses »

Mar 192011

Why not use the options in the index search?

Let me explain some example.

STEAMMING.
Stemming extends a search to grammatical variations on a word.
If you search for “fish” you will found: “fish“ or/and “fishing“.

Be aware: IT WORK ONLY FOR ENGLISH LANGUAGE.

PHONIC.
Phonic searchfor a word that sounds like the word you are searching. It starts with the same letter.
If you search for “diagnosi” you will found: “diagnosi“ or/and “disconnessa” or/and “diciamogli” or/and
“diagnosticato”

SYNONYM.
Synonym look for synonym.

Be aware: IT WORK ONLY FOR ENGLISH LANGUAGE.

FUZZY.
Fuzzy will find a word even if it is misspelled. It can be useful when you are searching text that may contain typographical errors.
If you search for “liberata” you will found: “liberata“ or/and “libertà” or/and “liberataa” or/and “liberaaa“

512MB USB-PEN: two different hash at every check

Software 3 Responses »

Mar 122011

I have a old 512MB US-PEN (unknown manufacturer). Every time i check the HASH it change in two different values for a short time (40 sec). After it, i got always the same value. The controller is unknown.

I calculate the HASH with md5sum (HELIX v1.9).

This is the technical details of the USB-PEN:

“FTK3 Report TIPS (or bug?)” –> FIXED

Software No Responses »

Mar 062011

About this POST: FTK3 Report TIPS (or bug?) these are the fixs (or knowledge) by ACCESSDATA SUPPORT.

Issue 1: More files are getting exported than were intended.

“This happened because in the ‘Selected Categories’ you had File Items checked, and Checked Items checked. This told FTK to export all files. To stop this behavior, put the checkmark only in ‘Checked Items’. FTK was doing exactly what the options told it to do”.

Issue 2: Record Date not showing in the report.

“This likely occurred because the column settings were not chosen in the File Properties options window. You’ll need to make certain that the correct column template is chosen by selecting ‘Columns’ in the report wizard, File Properties category”.

Issue 3: Unable to crate a report after deleting the old report from within FTK.

“I was unable to duplicate this issue. Things worked just fine when I deleted an old report to put the new report in the same location. It looks as though it is a rights issue for some reason. We may need to discuss this issue over the phone”.

Special thanks to Mike (AccessData Support).

FTK3: FUZZY HASHING EXAMPLE

Software No Responses »

Feb 262011

Fuzzy Hashing allow the discover of files that may not be locate using the traditional hashing methods. Here you can download a good document from Access Data.

This is an example of how it work on FTK3

On a case in FTK3 right click on a file (17.jpg) and select “Find Similar Files”:

after few mins you will get what you are looking for:

But, is the same files???

Different HASH means different files…. but not always.

Look better (and find the difference):

The “carved image” has lost a part so the HASH is different but the image is the same.

You can use this method when you have a piece of a pictures. It work VERY well with TEXT files. Try.

FTK3: Report TIPS (or bug?)

Software No Responses »

Feb 192011

Hi all,

today we want to make a simple report of 13 files with FTK3.

TIPS (or BUG) 1:

We start the WIZARD with only two options: “Case Information” and “File Properties“.

We have 13 checked Files:

Let’s go:

The creation report start…. and it start to export files…… 489459 files !!!!

AFTER 5 HOURS:

Something of wrong??

TIPS (or BUG) 2:

For every file (on NTFS FILE SYSTEM) extract this with the report wizard:

Look:

This is the Record date on FTK3 GUI:

And this is the REPORT:

Where’s the “Record Date“?

TIPS (or BUG) 3:

You want to change the report. So, you make your change:

…and then the report quit.

“So?”

Before generate another report: delete the folder.

UPDATE 24/02/2011: TICKET IN WORKING (from AD).

INSTALL FTK3: Tips and Trick

Software No Responses »

Feb 132011

I am working with FTK3 in a distributed environment. I had some trouble so i hope this post can help someone.

GENERAL

PATH where you can find LOG files (WindowsXP):

C:\Documents and Settings\All Users\Application Data\AccessData

FTK3 ORACLE

If you need a fast way to set the amount of memory used by Oracle, set these keys and restart the service:

FTK3 ENGINE

When you install “Access Data Processing Engine” for a distribuited processing, DO IT in “CONSOLE 0″ and verify to see this screenshot:

If the SERVICES don’t start, install “.NET Framework 3.5Sp1“:

If the FRAMEWORK is installed and it don’t start again, kill all process bind on port 34097:

If the “Access Data Processing Engine” work, you can fine these process:

DISK SPACE WARNING:

Often on the Worker (Client with ADPE engine) space size fall down very fast. Monitor it!!!

DNA3 vs Excel = CRACKED in 3Days (REAL CASE)

Software No Responses »

Feb 052011

Target:

FILE: Microsoft Excel 2003
Password for open: 10 Character
Password for read/write: 15 Character (character + digit)

Method:

Software: DNA3 (last version December 2010)
Password/Sec: 2Millions (everage)
Number of Hosts: 6 Computers
Duration: 3Days

Older Entries