Litiano Piccin

Litiano Piccin

Mar 172014
 

CYBERCOP_2014

Ritorna la classica gara di DIGITAL FORENSICS a squadre “CYBERCOP” organizzata da IISFA.

Di cosa si tratta?

“L’obiettivo del concorso è quello di simulare un’indagine investigativa con particolare attenzione alla Digital Investigation & Information Forensics e di produrre un elaborato finale che verrà giudicato da una apposita commissione.  Le squadre devono essere composte da almeno un investigatore e un tecnico.

I vincitori del concorso verranno premiati nella mattinata del sabato e parteciperanno alla simulazione “processuale” a seguire presso la Sala Nobile di Villa Giustiniani come indicato nel programma di IISFA Forum 2014.”

Rispetto agli anni precedenti la formula è tornata come le prime edizioni: una caccia serrata al colpevole seguendo tutte le tracce informatiche lasciate per culminare con l’arresto. Durante tutta la gara verranno effettuate delle riprese ed interviste per documentare la mole di lavoro fatta dai tecnici e investigatori.

Regolamento e Modulo di inscrizione lo trovate qui:

http://www.iisfa.net/news/160366/Regolamento-Cybercop-2014.htm

Jul 052012
 

I don’t know why AD is so complicated to explain how to upgrade a “fresh” installation  of 4.0.1 to 4.0.2.

First, verify to have the last POSTGRESQL version: 9.0.1.
Look in the “SERVICES.MSC” or execute the sql query:

select version();

Then download the “Upgrade_ZIP” file and run:

  • ADForensicToolkitXX.exe
  • ADEPEXX.exe

Finish.

 

(You can’t use “Copy Previous Case” because the upgrade don’t change the DB. If you want to use the new futures: just re-process all).

Jun 152012
 

Find artifacs by looking for:

“msg”:{“text”:          AND     from_name      (do it by a “live search” with FTK 4.X)

You will find a file with this piece of text:

{“t”:”msg”,”c”:”p_100000XXXXXX“,”s”:405,”ms”:[{“id”:100000XXX189519,”window_id”:XXX6112368,”type”:”focus_chat”}]}for (;;);{“t”:”msg”,”c”:”p_100000XXXXXX“,”s”:404,”ms”:[{“msg”:{“text”:”CHE TEMPO FA OGGI?“,”time”:13057407XXXXX,”clientTime”:13057407XXXXX,”msgID”:”143312XXXX“},”from”:105521XXXX,

“to”:100000XXXXXX,”from_name”:”LITIOS PICCI“,”from_first_name”:”LITIOS“,”from_gender”:2,”fl”:1,
“to_name”:”LUIGIS RANZI,”to_first_name”:”LUIGIS“,”to_gender”:2,”type”:”msg”}]}

 

.

PROFILE_ID: p_100000XXXXXX (PERSONAL PROFILE, UNIQUE ID)
MESSAGE_ID: 143312XXXX
SENDER_ID: 105521XXXX (FOR ANTI-SPAMMING, UNIQUE ID)
TIME + DATE (EPOCH): 13057407XXXXX
SENDER: LITIOS
RECEIVER: LUIGIS
Message: CHE TEMPO FA OGGI?

——————————————————————————————–

UPDATE 21/06/2012

If you meet this file (maybe from an IPHONE device): http_m.facebook.com_0.localstorage  you must open it with SQLite Browser and find the value of the KEY “pgcontent:/story.php?story_fbid…..”

You will find “WEB ARTIFACS” about FACEBOOK FRIENDS.

What are “localstorage”???

Look: here.

Jun 082012
 

IISFA Security Summit 2012

 

In questo ultimo periodo assieme a Massimiliano, Davide e Mattia stiamo “spingendo” il più possibile  la divulgazione in IISFA. Non è facile ma grazie all’aiuto del nuovo che sta “arrivando” (grazie Giuseppe) speriamo di migliorare ancora. Come sempre un ringraziamento al supporto logistico (Francesco e Gaia), legale (Mario e Stefano) e al timoniere (Gerry).

Non da ultimo un apprezzamento ad alcuni soci SEMPRE presenti a questi avvenimenti (Marco, Simone, Valerio, Selene, Riccardo e tanti altri ancora che ringrazio sempre).

 

Dec 302011
 

“Before to cry… TRY!!!”

.

POPULAR PASSWORDS

(FROM: http://www.ic3.gov/media/2011/111229.aspx)

An Internet site who manages passwords recently posted an article pertaining to the lack of secure passwords being utilized which may be a factor in data breaches — past, present, and future. One reason for the lack of security is the amount of passwords a user is required to remember to access the many databases, applications, multiple networks, etc., used on a daily basis. Sharing passwords among users in a workplace is becoming a common theme to continue the flow of operations. Users have prioritized convenience over security when establishing passwords.

The article provided a list of millions of stolen passwords posted on-line by hackers and ranked the top 25 common passwords.

  1. password
  2. 123456
  3. 12345678
  4. qwerty
  5. abc123
  6. monkey
  7. 1234567
  8. letmein
  9. trustno
  10. dragon
  11. baseball
  12. 111111
  13. iloveyou
  14. master
  15. sunshine
  16. ashley
  17. bailey
  18. passw0rd
  19. shadow
  20. 123123
  21. 654321
  22. superman
  23. qazwsx
  24. michael
  25. football

 

Nov 252011
 

Potete scaricare la nuova uscita qui.

Oltre alla “DEFT” di Stefano Fratepietro potete trovare un test di “Fuzzy Hashing” applicato alle immagini.

Consiglio anche la lettura del racconto dell’ultimo CYBERCOP (2011) che da un’idea del lavoro svolto dietro le quinte dai vari organizzatori .

 

Buona Lettura.

Nov 182011
 

FIXED (21/11/2011):

The PostgreSql start as “Local Service” and use this RIGHT to do all in the PC. In the share where you put the “CASE FOLDER” you must set: SYSTEM – FULL CONTROL

 

Folder: \\10.X.XX.25\case

 

ACL SHARING:

TICKET CLOSE.

 

 

 

————————————————————————————————————————

ISSUE (18/11/2011)

 

Environment:

  • OS: Windows 7 64BIT
  • DB: POSTGRESQL (64BIT) 9.0
  • MS Framework 4.0
  • New install and  all in one PC.

 

ISSUE:

When i create a NEW CASE with UNC path i get an error:

 

 

UNC PATH: \\10.XX.XX.25\case

 

 

Solution: USE ABSOLUTE PATH!!!

 

BUT on DPE  i got this error:

 

Workaround: after the case is create with absolute path, change it in UNC. It work at 100%.

Sep 142011
 

Dopo 3 mesi di piena attività mi concedo finalmente una pausa per aggiornare il BLOG con i nuovi appuntamenti e ripartiamo con la nuova versione di FTK (3.4.1) che annuncia modifiche sostanziali dato il cambio di DB. Da Oracle a PostgreSQL gia portato nella 3.4.

TEST:

1) Confronto diretto fra la versione 3.3 e 3.4.1 per capire come si comporta in nuovo DB.

2) Upgrade dei “vecchi case” dalla versione 3.3 alla 3.4.1 per capirne il gradi di affidabilità.

4) “New Futures” della versione 3.4.1

 

 

May 162011
 

(Lettura in chiave diversa di una bella manifestazione. Onori e glorie alle squadre che hanno partecipato e ai vincitori).

.

.

Si è appena conclusa l’edizione n°4 del CYBERCOP con la vittoria del TEAM “NOROC!” (Luigi, Riccardo, Matteo e Renato) che ha avuto la meglio (di poco) sul TEAM capitanato dal caro Mattia. Sono molto contento per Luigi e Riccardo che da diversi anni condividono la passione per la FORENSICS. Trovarsi nella vetta (la seconda volta per Luigi) è una grande soddisfazione che ripaga di tante notti insonni. Il proseguo non cambia ma almeno da una grande carica.

(Da sinistra: Giuseppe,Riccardo, Matteo e Luigi)

Molto particolare si è dimostrata questa edizione, sostanzialmente tutta sul CLOUD con una “simpatica” incursione in “Second Life” brillantemente preparata da PILA (Quanto ci è “costata” quell’AVATAR???). Io e Rebus ci siamo cimentati un po’ sul PHISING (lui) e sull’IPHONE (io). Max e Giuseppe hanno seguito e coordinato la parte tecnica sistemando i vari dettagli. Solo Giuseppe e Max (conoscono) tutto il gioco, noi ( Io, Pila e Rebus) solo le parti che noi sviluppiamo in totale autonomia.

Ma alla fine chi ha realmente vinto?“.

Noi (Giuseppe, Max, Io, Pila e Rebus… e siamo stati pure premiati!!!).

Voi???

Si, abbiamo proprio vinto noi perchè a conclusione del dibattimento grazie al bravo Stefano e il suo consulente Francesco nessuno è stato incriminato. Tutti liberi. Pure io che ad un certo punto sono stato sentito come “persona informata sui fatti“.

E come avete fatto?

Beh, giocavamo in casa, conoscevamo gli avversari ed eravamo “raccomandati” dal Sig. TEMPO . Già, alla fine il Cybercop è alla portata di tutti visto l’elevato livello tecnico ed investigativo messo in campo. Solo la mancanza di tempo decide le sorti del vincitore.

E allora godiamoci il nostro premio (noi)… anche in questo caso è stato il TEMPO a farcelo assegnare (non abbiamo fatto in “tempo” a cancellare delle mail usate per l’organizzazione del gioco!!!).

CYBERTAPIRO 2011

A ritirarlo… pochi eletti!!!

(Da sinistra: Rebus, Mazzaraco e Piccin)

Mancano PILA e MAX ma va bene lo stesso.

May 052011
 

A day (bad day) you decided to re-install your version of FTK3.X

“What you need to do for survive?

For FTK3 there isn’t any problem… for Oracle can be a hell.

First of all:  by add/remove Wizard remove FTK3/Local Engine and Oracle.

Second step for prevent error 27557:

->Delete this key of registry: HKEY_LOCAL_MACHINE\Software\ORACLE\

->Delete this Directory: C:\Program Files\Oracle\

->Delete this Directory: C:\Oracle (Default Installation)

->Under this key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Delete all keys that start with: Oracle….

-> If you are using an’ISO image mounted with “Daemon Tools” disable the physical CD/DVD ROM:

.

.

.

->If you got again the Error 27557 then check the logs<-

Apr 162011
 

FTK IMAGER 3.0.1

A nice fix:

Resolved file name issue that caused E01 files that were created in FTK Imager
to fail during import into EnCase. (56047)”

News:

“Improved handling of Apple partition maps (54804)”

FTK 3.3

Nice to know:

“FTK 3.3 does not carve container files. Safari cache.db files are container files. (54453)”.

“The processing Engine has to be manually stopped on 3.1 before 3.2 can be run and vice-versa.  They can be installed at the same time, but only one can run at a time.  FTK will get an error in the processing dialog if the wrong DPE is running. (21233)”.

“The Oracle database must be installed on a machine whose name begins with a letter (a-z and A-Z)number”.

“When exporting folders and their contents, you should always select the folder to be exported from the file list view instead of from the explore tree in order to export the contents correctly. (53627)”.

FTK now carves SQLite databases in order to recover deleted data that they might contain. Due to this change, users will likely see duplicate files if they choose to carve SQLite databases in addition to expanding them. (54453, 55292)”.

News:

“Upon completion of an export job, the export destination folder will now automatically
open up in Windows Explorer to show you the files / folders exported. (55773)”.

“Enhanced export functionality to handle export destination paths of more than 248
characters in length. (54302)”.

“The New Case Wizard and Additional Analysis dialog box now allow the user to “Do not find find deleted items”. Deleted files will be discovered and processed by default. (44322)”.

“At the root of each case folder you will now find a file called EvidenceHistory.log”

“New columns added in the file list view for MS Office metadata properties of “Last SavedBy” and “Author”. (54704)”.

FIX:

“Case Reviewers are no longer able to see or to know how many items have been marked privileged. (52836)”.

“FTK does not support processing evidence images of HFS+ file systems that have a sector size greater than 512 bytes. (52734)”.