Litiano Piccin

Litiano Piccin

Nov 042010
 

Mercoledì pomeriggio grazie all’opportunità che mi da IISFA sarò a Roma per parlare di CF e MF. Rispetto all’edizione di Milano, oltre all’aggiornamento delle SLIDE (aggiunte 60 nuove) ho inserito la “visione” di tre nuovi filmati tutti sulla Mobile Forensics. E’ stata anche approfondita la parte relativa all’architettura di ACCESSDATA con FTK3. Ringrazio per la collaborazione il mio amico e collega Alessio Tolomelli per il suo “THE LAST IPHONE BUG”. Il mio intervento, come amo fare, è esclusivamente di carattere pratico nel quale inserisco le mie ultime esperienze in Udienza.

Oct 172010
 

Dove ero rimasto?
Si, ricordo, stavo descrivendo quell’estate passata davanti al PC cercando di darmi una risposta su quello che i miei occhi vedevano ma che la mia mente rifiutava.

“Non è possibile… non è possibile… Ci deve essere una spiegazione…”

Le spiegazioni più semplici sono sempre la risposta ma a volte non la si vuole vedere. Ho trascorso l’intero Agosto cercando una spiegazione alternativa al “… è stato lui…” sacrificando intere mattinate sottratte ai miei affetti.

Ma il tempo è tiranno e le scadenza incombono.

Scrivo le conclusioni. E’ il momento cruciale di una consulenza. Le centinaia di pagine che riportano informazioni e tecnicismi si condensano a poche pagine nelle conclusioni appunto. Tre giorni per scrivere trenta righe. Tutti i termini vengono pesati e messi in discussione ad ogni rilettura.

C’è un solo verdetto perché c’è una sola verità tecnica: COLPEVOLE. Mentre lo scrivo ho in mente il viso della madre e lo sguardo rivolto verso il basso del figlio. Spero di non commettere un errore mi ripeto ma in fondo lo so: è stato lui.

Arrivo sempre con una gran fretta… parcheggio sempre male con la paura che qualche Vigile si accorga di quanto sono “maleducato” come automobilista. In un balzo sono in cancelleria. L’addetto mi conosce, da anni mi vede di tanto in tanto… chiedo sempre la stessa cosa:
“Mi mette un timbro per cortesia?”

Il momento della consegna è il momento più bello. E’ l’illusione di aver concluso una Consulenza. Da quel momento in poi l’unico pensiero è “…non cercatemi più per questa…”. Via via… se non archiviano speriamo patteggi ma casomai c’è tempo… magari mi chiamano fra qualche anno… speriamo di no…. via via…. da oggi sono in ferie!!!

DIVERSI MESI DOPO.

LP: “Buongiorno dottore come sta?”
PM:“Carissimo, grazie, tutto bene tutto bene, lei?”
LP: “Sono di passaggio, consegno e rientro a Bologna sempre di fretta.”
PM: “Bel posto Bologna, a proposito, si ricorda del PP XXX”
LP: “…si… ricordo, il ragazzo vero? mi ricordo anche della madre…”
PM: “Giusto, beh è andata bene, alla fine ha ammesso le sue responsabilità e lei ha fatto un bel lavoro.”

non mi ricordo più il resto della conversazione perché da quel momento in poi una sola cosa mi risuonava in testa: “… quanto tempo buttato… quanto tempo buttato….”.

E’ passato del tempo. Oramai è solo un ricordo. C’è ancora una cosa che non mi spiego:

“come giustifico quella data di ultimo accesso?”

Oct 062010
 

Arrivo sempre di corsa, parcheggio nel piazzale e mi precipito sulle scale. Due piani e sono nel corridoio che fa da attesa prima di entrare. Giornata dura, tre ore passate in mezzo al traffico con l’ansia di arrivare in ritardo e trovare una giustificazione plausibile che copra il ritardo e anche il senso di colpa per aver dormito solo quattro ore. Le altre, le ho passate in rete con la scusa di trovare una spiegazione per giustificare quel file con quella data di ultimo accesso.

Oggi tre incarichi: uno alle XX:00, uno alle XX:15 e l’ultimo alle XX:30. In trenta minuti concludo la giornata ma con il pensiero sono già a sera sempre a cercare una spiegazione su quella dannata data di ultimo accesso.

Li avevo già notati mentre aspettavo il primo appuntamento. Madre e figlio. Seduti in religioso silenzio. Tutti e due con la testa bassa e con lo sguardo di chi si trova coinvolto in una situazione che non gli appartiene. Mentre mi venivano illustrati i fatti la madre mi guardava con un certo imbarazzo e il figlio non staccava gli occhi dal pavimento.

“Mio figlio lo conosco, non ha fatto nulla mi creda…”

“Stia tranquilla…. vedrà… andrà tutto bene, non si preoccupi…” le ho detto mentre uscivano dalla porta.

Dentro di me, pensavo: “sbagli una cifra e finisci a casa di una famiglia per bene…..”

Agosto, periodo di ferie. Periodo che si dedica alla famiglia e agli affetti. Ma fra le tante famiglie ve ne è una che attende un esito. La scadenza è vicina. E’ giunto il loro momento. Ho ancora vivo il ricordo del disagio della madre e la vergogna del figlio. Questa volta non sono obiettivo. Ho visto l’indagato e mi è sembrato sincero: sicuramente è uno sbaglio.

Tutte le analisi richiedono una serie di passaggi obbligati che eseguo di ruotine. Al termine si esegue una scrematura delle informazioni raccolte per avere un’idea del contenuto del supporto. Successivamente si passa alla vera analisi effettuata in più passi. Tutto regolare, non c’è nulla. Ne ero convinto fin dall’inizio, da quel primo incontro in corridoio.

Ma un’analisi richiede che tutti gli step debbano essere superati. Solo dopo posso affermare con sicurezza: “non c’è nulla”.

Già, già, non ci doveva essere nulla…

(LA CONTINUAZIONE NEL PROSSIMO POST)

Sep 202010
 

Lavorando con un BlackBerry ho avuto l’esigenza di trasferire alcuni file presenti nella MEDIA CARD nel mio PC. Il mio BB è configurato per criptare qualsiasi file (MEDIA o ALLEGATI). Senza entrare nel dettaglio: non viene criptato il file system ma solamente i file presenti con una chiave propria del bb (criptati e a file fine aggiunta l’estensione “.rem“). Una volta che si disabilita la “criptazione” i file non vengono automaticamente decriptati ma rimangono criptati. Tutti i nuovi file vengono scritti in chiaro come da impostazione corrente.

E per recuperare i file in chiaro?

Modificare l’estensione non serve a nulla. La criptazione viene tolta se il file viene riscritto. Se avete quindi 100 Immagini criptate (“.rem“) le dovete copiare eventualmente all’interno di una nuova cartella da BB (con le sue utility). In questo modo i nuovi file sono scritti in chiaro.
Esportati i file in chiaro li potete cancellare…. ma… si possono recuperare con il “DATACARVING”. Infatti il BB non dispone (nativamente) di una utility che consente di “wippare” gruppi di cartelle o file. Ha solo la possibilità di “wippare” TUTTA la memory card.

Morale: anche se in un BB sapete che hanno attivato la “criptazione” per la media card, potete eseguire un’operazione di “DATACARVING”.

Lascio alla “comunità” la risposta alla domanda: E la criptazione dei dati interni?

Aug 072010
 

Uno dei miei peggiori difetti (ne ho veramente tanti…) è che ogni tanto (spesso) sparisco. Non rispondo più alle telefonate e ai messaggi SMS rispondo dopo giorni (se mi ricordo). Un brutto affare avere a che fare con me. Come mai? La risposta è semplice: SCADENZE. E’ il momento più delicato in cui dopo tante ipotesi bisogna concludere su carta il proprio lavoro. Più “delicato” è il “reato” (stasera vesto i panni del CTP del PM) più complesse sono le “CONCLUSIONI”. Questo periodo è stato alquanto “complesso”, fra metadati/CDFS e l’idea di iniziare a presentare delle TIMELINE grafiche per specifiche tipologie di reato.

E alla fine?

Alla fine passata la SCADENZA si pensa alla prossima e mi ritrovo già con l’acqua alla gola con l’aggiunta della preparazione di alcuni articoli e seminari.

Ma ne vale la pena?

Dipende da cosa ti spinge ad andare avanti.
8 Mesi fa avevo mollato tutto perchè mi ero stancato. Alcuni mesi senza fare nulla (due certificazioni e un paio di docenze) e l’insistenza della mia famiglia mi hanno fatto ripartire ma in maniera differente.

Mentre prima a qualsiasi richiesta la risposta era: “SI”, ora non è più scontato. L’ausilio di un collaboratore (che sto “caricando” ben bene ) che mi segue e che sto formando è stato un “colpo di fortuna”. Non è facile trovare una persona disposta a “sacrificare il tempo libero” ed essere umile allo stesso tempo.
Ma soprattutto pazienta quando… sparisco e quando “predico” su come si DEVE “lavorare”.

A proposito di umiltà: assai rara in questo settore e io stesso quando leggo certe cose e certe consulenze divento veramente arrogante.

Un esempio?
Quando leggo dei post di “colleghi” che ignorano la differenza fra una consulenza e una perizia… beh…. divento proprio insopportabile.

E non parliamo delle continue lamentele sull’andamento dei pagamenti (cifre… non i ritardi). Sarebbe prima opportuno discutere sul contenuto del materiale che si presenta al cliente e dopo del conto…. non sempre e solo del conto…

Vabbè… stasera sono polemico (altro difetto che però con la vecchiaia si affievolisce).

Chiudo con il motivo originale per cui dovevo fare il post ma poi è uscito quello che è uscito.
Fino a metà settembre sono in regime di “scadenza” quindi lasciate perdere il cell/sms. Mi trovate solo via MAIL. Buone ferie (a chi le fa).

Jun 292010
 

Reference (ECMA-376) on:
MS-DOC – v20100602 Word Binary Format (.doc) Structure Specification (Copyright Microsoft)
Page 359: LASTSAVEDBY Specified in [ECMA-376] part 4, section 2.16.5.38.

http://www.ecma-international.org/publications/standards/Ecma-376.htm
download: ECMA-376 1st edition Part 4
Open: Office Open XML Part 4
Pag: 1542

2.16.5.38 LASTSAVEDBY
Syntax: LASTSAVEDBY [ switch ]
Description: Retrieves the name of the user who last modified and saved the current document, as recorded in the LastModifiedBy element of the Core File Properties part.
Field Value: The name of the user who last modified and saved the current document.

May 282010
 

A distanza da un mese dell’apertura di un TICKET mi ha contattato oggi nuovamente il supporto (era da un bel po’ di giorni che erano…spariti). Una bella novità: AD ha aperto un supporto “EUROPEO” disponibile durante l’orario d’ufficio “nostro”. Un passo avanti.

May 252010
 

Come sempre, tra la conclusione di una Consulenza e l’inizio di un’altra mi “diverto” (c’è poco da divertirsi, l’aggiornamento degli strumenti di lavoro è una cosa IMPORTANTE e non da sottovalutare) ad aggiornare i vari software/firmware e a testarli in “laboratorio” (è da evitare il TEST sulle evidenze). Stanotte è toccano al nuovo firmware del TABLEAU TD1 FORENSIC DUPLICATOR. Mi interessava verificare l’efficacia della compressione in formato EWF. Il risultato ottimale lo si ha usando un disco VUOTO.

EVIDENCE: TOSHIBA 2,5″ IDE da 80GB

FORMATO RAW
L’operazione di copia su un SEAGATE da 1,5TB SATA è durata circa 50 minuti. Dimensione TOTALE: 80GB.

FORMATO EWF
L’operazione di copia su un SEAGATE da 1,5TB SATA è durata circa 50 minuti. Dimensione TOTALE: 512MB.

Stesso tempo ma risultati differenti.

Altro TEST:
Verifica dell’immagine ottenuta con il TD1 con FTK IMAGER. Ho verificato che l’HASH per entrambe coincidesse.

FORMATO EWF
L’operazione è durata 12 Minuti.

Formato RAW
L’operazione è durata 40 Minuti.

Come emerge chiaramente, il formato EWF è molto comodo per “trasporto” e anche per la successiva verifica di integrità.

Non è finita: il tempo di elaborazione (carving, hash, keywords, …etc) è più veloce su un’immagine compressa?

Non lo so. Alle 3.30 mi sono messo a dormire.

May 222010
 

Non lo so, ma sono immerso nelle onde 24 ore al giorno.

Nessuno si è mai chiesto: “com’è il laboratorio di un Tecnico Forense?
O meglio: “quanto dista il laboratorio del Tecnico Forense dal proprio letto?”

Il mio è a 15 cm e comprende alcuni PC (per l’elaborazione), alcuni NAS (per le evidenze), i SERVER (per l’archiviazione dei risultati) e i classici dispositivi di rete (SWITCH, FIREWALL e da ultimo pure un AP su VLAN dedicata). Tutto organizzato e sistemato alla perfezione in modo da occupare il minimo spazio possibile ed avere il minimo impatto “estetico” con il mio letto “indonesiano”.

“E il rumore???”
Risolto da alcuni anno con la sordità.

“E le emissioni elettromagnetiche?”

Mah…me lo chiedo pure io… e se lo sono chiesto alcuni Giudici della Corte di Appello di Brescia (Sezione Lavoro).

Questa è la sentenza.

Questo invece è il commento dell’Avvocato dott.ssa Stefania Borga, Foro di Venezia.

May 152010
 

E’ uno di dubbi che spesso mi sorgono durante le notti (previa nomina della Procura) passate ad analizzare diversi TERA di dati. Magari è l’unica foto su svariati migliaia passate al setaccio.

Cosa si fa?

Non sono io che decido: non sono un medico o un consulente competente per stabilire l’età di un adolescente (se non si tratta di una foto palese). Io mi limito a rispondere ad un quesito segnalando nella mia Consulenza il materiale che “potrebbe” essere attinente al quesito stesso. Giustificando (punto fondamentale) l’origine e la provenienza di tale immagine.

Basta questo?

No, non sempre basta il buon senso, ci vuole altro, magari una sentenza della Cassazione (Terza Sezione Penale – sentenza 406 – 04/03/2010) che indichi cosa si intende per materiale PEDO.

“…materiale che ritrae o rappresenta visivamente un minore degli ani diciotto implicato o coinvolto in una condotta sessuale esplicita, quale può essere anche la semplice esibizione lasciva dei genitali o della regione pubica.”

L’interpretazione della foto ruota attorno alla parola “esplicita”.

May 112010
 

E’ finito anche il Cybercop 2010 con la vittoria della squadra capitanata da D’Agostino. Complimenti.

Lorenzo e Mario anche stavolta hanno voluto lasciare spazio agli altri: bravi ma io avevo “puntato” su di voi… mannaggia… (scherzo naturalmente… siete sempre un esempio di sportività). Quest’anno ero molto curioso di vedere all’opera Michele con il suo programma. La “sbavatura” sulla freccia è stata un’utile occasione per vederlo all’opera. Ho trovato un grande Massimiliano…. ogni occasione di lavorare con lui è uno “spasso”…

E’ stato comunque un Cybercop delle “conferme”.

La conferma dell’amicizia sempre più stretta con Luigi, Francesco, Riccardo e Luca.
La conferma che Marco è veramente “tosto”… non solo in “birreria”….
La conferma che Salvatore è più giovane dal vivo che in foto…
La conferma che le “auto-proclamazioni” alla fine vengono sempre “smascherate”.
La conferma che chi si è rialzato prendendo una nuova direzione è meglio che torni a sedersi.
La conferma che di solo di Computer Forensics, per il momento, non si vive.
La conferma che su una persona mi sono sbagliato.

La novità più importante?
Questa: “IISFA Computer Forensics Survey 2010″
Leggendo questa ricerca ho visto il profilo del Consulente “calzare a pennello” con il mio modo di fare. I Consulenti di oggi hanno bisogno di maggiori nozioni di diritto per avvicinarsi sempre più a Magistrati e Avvocati e allo stesso tempo dobbiamo specializzarci su settori specifici. Ritengo che la figura del Consulente di DF a 360° sia morta.

Apr 202010
 

Fra una pausa e l’altra (o anche fra la fine di una Consulenza e l’ìnizio di un’altra) aggiorno il Software di Analisi. Di solito i giorni successivi passo il mio tempo nei FORUM per capire “dove sbaglio”. Oggi tocca a DNA (Distribuited Network Attack) un “brutaforce” distribuito su diversi Computer in rete. In passato non ho mai avuto risultati “sbalorditivi” da questo tool ma a me piace per come è stata pensata l’architettura.

La versione precedente (3.5.4) non ha mai dato problemi.
Oggi ho fatto l’upgrade. Tutto bene sul “supervisor” (il “distributore di lavoro” che lo assegna ai vari “Worker”) ma risultati diversi con i “worker”…. ovvero la “bassa manovalanza”.

Su due dei quattro Computer che ho a disposizione il SERVIZIO di AD va in FAULT:

Faulting application worker_service.exe, version 0.0.0.0, faulting module worker_service.exe, version 0.0.0.0, fault address 0x000113a5.

Sui due PC dove il servizio funziona, ho installato anche la suite FTK.
Che manchi qualche componente che la “Release note” non riporta?
Dove sbaglio???

PS: ci vediamo a Roma il 23 (LUMSA).
PS2: ci vediamo al Cybercop 2010 a Milano (sotto altre vesti quest’anno).
PS3: qualcuno ha un indirizzo mail “segreto” di Jonathan Zdziarski dove risponde?

UPDATE (23/10/2010): nessuna NEWS, quindi apro un TICKET.
UPDATE (26/10/2010): Il 24 mi hanno contattato con il suggerimento: re-installa e cancella la cartella. Nulla è cambiato. Andiamo avanti.
UPDATE (27/10/2010): Il 26 mi hanno suggerito: re-installa e cancella la cartella e le “entry” nel Registry. Nulla è cambiato. Andiamo avanti.

Feb 262010
 

Avrei voluto intitolare il post: “Errata Corrige”.

Giusto ieri durante il corso avevo più volte sottolineato il fatto che i prodotti di Access Data non visualizzano la data di ultima modifica dei metadati relativi ad un File System NTFS.

Bene, sembra che le cose cambieranno visto che la nuova versione di FTK IMAGER 2.7.0 lo indica.

ftk_imager_2_71

UPDATE(09/03/2010): A questo punto: “Errata Corrige”.

Non leggersi le “release note” e installare subito (alla “utonto”) ogni tanto porta a compiere errori. E’ dalla versione 2.6.1.62 che viene riportata la data di modifica dei METADATA.
(THANKS TO KENDO)

Feb 232010
 

Giovedì pomeriggio ho l’occasione di andare a parlare di DIGITAL FORENSICS al corso organizzato dall’IISFA. Finalmente vado a discutere un po’ su tre bei software: ENCASE (6.15), FTK (3.X) e X-WAYS (15.X) messi a confronto su un caso reale. Non andrò a raccontare di quanto è bella l’interfaccia grafica dell’uno e dell’altro e manco di quanto tempo impiega ad indicizzare questo o quello: vado a fare vedere con mano dove cercare quello che mi interessa per trovare la verità (o una delle verità).

Queste sono le cose di cui NON parlerò:

  • Di cos’è un HASH, a che serve e della teoria delle collisioni.
  • Della catena di custodia.
  • Dei Write Blocker.
  • Delle distribuzioni gratuite o a pagamento.
  • Di come deve essere una postazione forense.
  • Di come si usa “dd” e i suoi derivati.
  • Di come si fa a nascondere un file così tanto bene che poi per recuperarlo impiego una settimana.

Mi limiterò ad esporre cosa deve SCRIVERE  un CT quando incontra “IL QUESITO”.

Feb 172010
 

A fine anno avevo prospettato la totale chiusura con la CF “commerciale” lasciandomi aperta la porta del solo studio e sperimentazione a livello di hobby per far fronte alla scia di dibattimenti che nel prossimo futuro mi coinvolgeranno (spesso ci si dimentica che a distanza di qualche anno si finisce a discutere davanti ad un Giudice).

Ad inizio di ogni anno mi diletto a investire parte dei “guadagni” o in Hardware o in Software. A fine dicembre si era presentata l’occasione di acquistare ad un buon prezzo l’ICS IMAGEMASSTER SOLO IV. La tentazione è stata tanta ma ho desistito in favore di un inizio 2010 più sereno e con meno impegni.

Non è andata come speravo e alla fine mi sto trovando ad investire in un settore che nel passato non mi aveva convinto: le certificazioni.

“Ma servono? Sono necessarie a certi livelli?”

Beh, dal 2000 frequento il settore e non mi sono mai servite anche perchè fino a qualche tempo fa (tanto tempo fa) eravamo in pochi e non c’era tutta la “concorrenza” di oggi. Il passaparola ha sempre funzionato. Ora che però ho tempo, stimolato da due miei grandi amici Francesco S. e Luca B. mi sono messo a studiare. Inizialmente come “sfida personale” ma oggi, dopo aver preso la CHFI, anche come STEP per migliorare le conoscenze del settore.

La parte che più mi piace è vedere come la “legislazione americana” tratta la figura di “expert withness” (il consulente in udienza) e l’importanza del “search warrant”  (mandato di perquisizione).

Ma non basta, occorre anche saper usare gli strumenti di Forensics e dimostrare che si sanno usare. Ma questa è un’altra certificazione e forse vi ho annoiato troppo…

Feb 162010
 

Testando FTK 3.0.4 sono incappato nel problema che segue: importare un Hash Md5 all’interno della Library di FTK.

Il problema è risaputo (inizio 2009)  fin dalla versione 2.X e il WORKAROUND funziona egregiamente.

Vediamo i passi da fare.

1) Create un File con estensione “.CSV” inserendo i vari Hash del tipo:

———————–INIZIO—————————

MD5

7938F1D1D333811510D6C8D8B530BEBD

8938F1D1D333811510D6C8D8B530B786

———————–FINE—————————

L’ultima riga deve rimanere vuota.

2) Importate il file da “KFF MANAGER”

3) Create un nuovo GRUPPO (oltre ai due di default: AD_Alert e AD_Ignore)

4) Assegnate al nuovo gruppo il NOME usato per importare il file “.CSV”

5) Rieseguite il KFF con l’opzione “Recheck previously processed items” se volete testare la presenza dei nuovi HASH.

Il workaround è ben indicato in alcuni post del FORUM.

Approfitto del post per suggerire ai “colleghi” che, alla prima difficoltà invece  di postare domande a destra e a manca cercate sempre le vostre risposte nei FORUM del PRODUTTORE.