Studio Piccin – BLOG

Fra una pausa e l’altra (o anche fra la fine di una Consulenza e l’ìnizio di un’altra) aggiorno il Software di Analisi. Di solito i giorni successivi passo il mio tempo nei FORUM per capire “dove sbaglio”. Oggi tocca a DNA (Distribuited Network Attack) un “brutaforce” distribuito su diversi Computer in rete. In passato non ho mai avuto risultati “sbalorditivi” da questo tool ma a me piace per come è stata pensata l’architettura.

La versione precedente (3.5.4) non ha mai dato problemi.
Oggi ho fatto l’upgrade. Tutto bene sul “supervisor” (il “distributore di lavoro” che lo assegna ai vari “Worker”) ma risultati diversi con i “worker”…. ovvero la “bassa manovalanza”.

Su due dei quattro Computer che ho a disposizione il SERVIZIO di AD va in FAULT:

Faulting application worker_service.exe, version 0.0.0.0, faulting module worker_service.exe, version 0.0.0.0, fault address 0x000113a5.

Sui due PC dove il servizio funziona, ho installato anche la suite FTK.
Che manchi qualche componente che la “Release note” non riporta?
Dove sbaglio???

PS: ci vediamo a Roma il 23 (LUMSA).
PS2: ci vediamo al Cybercop 2010 a Milano (sotto altre vesti quest’anno).
PS3: qualcuno ha un indirizzo mail “segreto” di Jonathan Zdziarski dove risponde?

UPDATE (23/10/2010): nessuna NEWS, quindi apro un TICKET.
UPDATE (26/10/2010): Il 24 mi hanno contattato con il suggerimento: re-installa e cancella la cartella. Nulla è cambiato. Andiamo avanti.
UPDATE (27/10/2010): Il 26 mi hanno suggerito: re-installa e cancella la cartella e le “entry” nel Registry. Nulla è cambiato. Andiamo avanti.

Testando FTK 3.0.4 sono incappato nel problema che segue: importare un Hash Md5 all’interno della Library di FTK.

Il problema è risaputo (inizio 2009)  fin dalla versione 2.X e il WORKAROUND funziona egregiamente.

Vediamo i passi da fare.

1) Create un File con estensione “.CSV” inserendo i vari Hash del tipo:

———————–INIZIO—————————

MD5

7938F1D1D333811510D6C8D8B530BEBD

8938F1D1D333811510D6C8D8B530B786

———————–FINE—————————

L’ultima riga deve rimanere vuota.

2) Importate il file da “KFF MANAGER”

3) Create un nuovo GRUPPO (oltre ai due di default: AD_Alert e AD_Ignore)

4) Assegnate al nuovo gruppo il NOME usato per importare il file “.CSV”

5) Rieseguite il KFF con l’opzione “Recheck previously processed items” se volete testare la presenza dei nuovi HASH.

Il workaround è ben indicato in alcuni post del FORUM.

Approfitto del post per suggerire ai “colleghi” che, alla prima difficoltà invece  di postare domande a destra e a manca cercate sempre le vostre risposte nei FORUM del PRODUTTORE.

In questi giorni in cui mi sto divertendo a “giocare” con Windows 7 ne escono delle “belle”. L’idea è di avere una postazione di analisi con Windows 7 per utilizzare appieno 4 processori e 6G di RAM. La realtà è quella di rimanere con XP. Ma siamo solo agli inizi.

Vediamo in breve alcune “issue” aperte:

• FTK 3.0.4: l’installazione di ORACLE 10 va in errore a causa di una configurazione errata dello SCRIPT automatico di installazione. Morale: se si installa ORACLE a “mano” l’operazione riesce ma mi devo “inventare le configurazioni” del DB. Quindi… vediamo se AD corregge il problema. Allo stato attuale siamo in “diversi” ad attendere una riposta.

• Encase 6.15: sia quest’ultima versione e sia le precedenti hanno dei problemi con VISTA e 7. Problema non proprio banale per chi è abituato ad usare diversi PC collegati via RDP (Remote Desktop di Microsoft).  Sembra infatti che se lanciate il programma via RDP il dongle non “viene sentito” ovvero è come se non fosse presente. Morale: il programma si avvia in modalità “acquisizione” e non “analisi”. Anche qui si sta cercando una FIX. Al momento l’unico modo è di lanciare il programma da una sessione “locale” e poi eventualmente collegarsi in RDP dalla sessione già aperta. Si può usare anche VNC e affini ma la velocità con cui ci si muove nel Desktop è troppo lenta.

Domani vediamo che mi combina X-WAYS via RDP…

Se qualcuno vuole approfondire le varie problematiche, consiglio di seguire i problemi direttamente dai forum dei produttori.

UPDATE: 24/12/2009

Nessun problema di incompatibilità di X-Ways Forensics 15.4 con Windows 7 a 64 bit anche da remoto via RDP.

Mi sono messo per gioco a testare i prodotti della PASSWARE (1.3 Free/Demo) per l’identificazione di file “criptati” e la loro decodifica. Naturalmente i file TRUECRYPT non vengono riconosciuti. Nemmeno i file criptati con quella “vecchia” applicazione “KREMLIN” che mi è sempre piaciuta (anche se una versione ha un “buco” enorme…).

Funzionano bene per i file protetti con le applicazioni di OFFICE e di WINZIP. Per i file “OFFICE 2007″ il protocollo usato per la criptazione è l’AES e quindi si utilizza il classico “brutaforce”.

Comunque sia… se si vuole nascondere qualcosa è sempre meglio usare TRUECRYPT su un portatile isolato con acceso un JAMMER WIFI ricordandosi di andare a cancellare la lista dei documenti recenti e i LINK sparsi fra registro e desktop. Non dimenticate di “Wippare” pagefiles e lo spazio libero su disco ad ogni spegnimento…

E’ una notizia che circola da tempo ma potrebbe essere utile se vi capita. Se aprite una evidenza acquisita con una versione di FTK IMAGER inferiore alla 2.6 (ora attualmente siamo alla 2.6.1) e durante la fase di acquisizione avete compilato tutti i campi “sforando” la lunghezza massima (per campo) di 12 caratteri vi compare un errore che potete tranquillamente “ignorare”.

Aggiornate FTK IMAGER all’ultima versione per evitare l’antipatico avvertimento.

Ho concluso da qualche giorno un grosso lavoro di basso “profilo” ma su un numero elevato di evidenze. Una delle attività è stata di visionare qualche migliaio di filmati. In questi casi o ci si prende tutto il tempo per visionarli uno alla volta o ci si “attrezza”. 

Pur lavorando con “DB di HASH di filmati noti” non si velocizza per nulla il lavoro inquanto qualsiasi cosa deve comunque essere posta al “vaglio” dell’occhio. Ci sono però due strumenti utili: X-WAYS Forenisc e VidReport di Paul Sanderson. Mi soffermo su quest’ultimo inquanto con Paul ho collaborato per il miglioramento di questo strumento. 

VirReport è un normale player di filmati (usa i CODEC che avete installato) con delle funzionalità superiori. Ha la possibilità di estrarre tutti i frames o un range di frames o frames ad intervalli predefiniti dall’utente. Fino a quì nulla di veramente utile.

La cosa che ho trovato stupenda è la seguente:

date in pasto al programma una directory contenente tutti i filmati che avete e lanciate l’opzione “Html Report” selezionando una directory di destinazione. Il programma si incarica di selezionare da tutti i filmati un range di fotogrammi e di farne un report HTML per ogni file. Da mille filmati vi trovate con mille pagine html da “sfogliare”.

In una nottata ho estratto circa 800 filmati pari a 3G di materiale.

In questa maniera individuate i filmati di “interesse” già con un “Report” da allegare alla vostra consulenza nel quale, oltre alle informazioni sul tipo di file, vi trovate i vari fotogrammi numerati con un timestamp riferito al filmato stesso.

Naturalmente non esiste nulla di “magico”. Se il prog. trova un filmato con un HEADER danneggiato si blocca e rimane in uno stato di “freeze” persistente. A questo già da tempo Paul sta cercando di porre rimedio.

Vi sono altri progetti “storici” per trattare il più velocemente possibile i filmati quali C4M di Trevor ma anche quì l’occhio deve comunque scorrere tutto il film o parti di esso.

Per il momento, ringrazio PAUL.

In queste notti mi sono imbattuto in un Computer con Windows Vista pre Sp1 (senza il Service Pack 1 installato). Non è immediato capire l’ultima volta che il Sistema Operativo è stato spento.

E’ stata una settimana dura per un gruppo di persone di “differenti fazioni” che alla fine hanno prodotto un unico risultato: risolvere il problema. Non mi dilungo in tante parole ma l’inconveniente dello SWAP si è manifestato su entrambe  le distribuzioni in differenti modalità ma con un unico effetto non desiderato che lascio immaginare.

Lascio il dettaglio tecnico ai due sviluppatori (Stefano e Giancarlo) e invito tutti a eseguire il download delle due nuove distribuzioni. Per gli “avversari” (stiamo scherzando naturalmente) lancio la sfida al TEST per le nuove versioni future. Magari, fra qualche anno, mettiamo anche in palio dei premi.

Questo post nasce come risposta allo tsunami di post/mail/”bloggate” che si stanno diffondendo sul web a pochi giorni dal rilascio di DEFTv4x.

Iniziamo col dire che con DEFTv4x si possono fare le stesse cose (spesso meglio) che si possono fare con DEFTv3x.

Al momento tutti i TEST che abbiamo eseguito dimostrano che, una volta avviata la distribuzione, NON “sporca” le evidenze se non a seguito dell’intervento dell’operatore. Potete tranquillamente testare la distribuzione ri-calcolando l’HASH dei dischi/partizioni di un PC in cui e avviata DEFTv4x. Meglio se utilizzate questa distribuzione su un PC con poca RAM e con installata una qualsiasi distribuzione LINUX. Vi accorgerete che la partizione di SWAP rimane “inviolata”.E quindi?La DEFT è stata sviluppata con l’idea di avere uno strumento di lavoro sul campo. Oltre a ciò offre la possibilità di “trasformarsi” in laboratorio quando viene installata su una postazione. Le conseguenti scelte di “design” hanno imposto dei vincoli.Diamo qualche accenno.Le operazioni più onerose (in termini temporali) che si desidera completare nel più breve tempo possibile sono:

1. Calcolo dell’HASH.
2. Copia con dd (o derivati).

La prima differenza (non a caso) che si nota rispetto ad altre distribuzioni è che all’avvio non “parte” la modalità grafica. Questa particolarità garantisce un minore tempo di avvio e un minore uso di risorse. L’uso di una interfaccia testuale permette di eseguire una serie di operazioni nella maniera più veloce possibile andando però a discapito della semplicità d’uso. Ad esempio l’ operazione del calcolo dell’HASH eseguita con il tool DHASH in ambiente “solo testo” impiega meno tempo rispetto alla stessa operazione in ambiente grafico (XFCE).

Dall’altro canto la parte grafica è necessaria per poter sfruttare le potenzialità di XPLICO come strumento di “intercettazione” ed ananlisi. Da qui la necessità di utilizzare un ambiente grafico “leggero” che comunque mette a disposizione dell’operatore ulteriori strumenti di analisi.

Rispetto alla DEFTv3, cosa è cambiato nella DEFTv4?

Molto e nulla ma apparentemente una modifica nel “comportamento della distro” sembra aver “turbato” le notti di molte persone. Probabilmente perché non è stata pubblicizzata ancora a 5 giorni dal rilascio (purtroppo non si “vive” di solo forensics).

Parlo della visualizzazione su desktop di tutte le “EVIDENZE” presenti sul PC/MAC. Ovvero, se collegate un dispositivo di storage attraverso la porta USB, compare un’icona sul DESKTOP che ne indica la presenza (con relativa dimensione).

A questo punto, se clicco sull’icona il Sistema Operativo “sente” la richiesta di mount e cerca di montarlo in scrittura. Questo comportamento è (allo stato attuale) voluto per agevolare alcune operazioni che non hanno nulla a che vedere con un’operazione di COPIA o di ANALISI di un’evidenza. Tale operazione ha, quindi,  lo stesso effetto di un comando di mount in scrittura lanciato da riga di comando  dalla HELIX2.

La DEFTv3, se visualizzasse le EVIDENZE, avrebbe lo stesso comportamento.

Che questa “nuova implementazione” abbia generato incomprensioni ed allarmi lo posso anche capire ma il tono usato da alcuni colleghi nei miei confronti lo ritengo eccessivo.

Mi fermo qui.

Da giorni sto cercando di contattare i “vendor” di Oxygen forensic (http://www.oxygen-forensic.com) per farmi spiegare bene il meccanismo delle licenze.  Non mi è chiara la differenza fra la Suite2 e Suite1. Messe assieme le due Suite vengono vendute a 699Euro ma mi sfugge in cosa si differenziano. Fra l’altro, se compro una Suite spero si intenda che mi danno le due versioni: “normale” e “symbian”.  Ho provato anche a chiamare i due numeri… il numero “americano” suona a vuoto e l’altro non “squilla”.

Non sono riuscito nemmeno a provare una versione “demo” in quanto la licenza temporanea via Mail sembra che non arrivi. Pure scrivendo attraverso “On Line Support Forum” non ho avuto risposta.

Qualcuno ha idee?

UPDATE (3 ore dopo)

Ecco subito una piacevole risposta del team della OXYGEN:

Dear Litiano,

 Thank you for your request.

 There are many differences, but in general Oxygen Forensic Suite 2 is the next generation of Forensic Suite 1, supporting much more mobile phones (including Nokia XXXX) and having new features.

 Actually we do not sell version 1 anymore, so the only choice is Oxygen Forensic Suite 2. Until December, 1st we have EUR 100 discount on it.

 If you will have any further questions, please do not hesitate to contact me.

Meglio di così. Fino a dicembre abbiamo uno sconto se compriamo la Suite2. Ora rispondo chiedendo anche una licenza temporanea per la versione DEMO.

UPDATE2 (il giorno dopo)

Dopo un cordiale scambio di MAIL con il commerciale della OXYGEN sono arrivato alle seguenti conclusioni:

1. La Suite1 non è più in vendita. Solo la Suite2.
2. Non esiste una versione “TRIAL” o DEMO per la versione 2. Al max si compra la versione che dura 30 giorni.
3. La versione DEMO scaricabile, supporta i seguenti “cavi”: DKU-5/CA-41 e DKU-2/CA-53 e non richiede nessuna chiave o licenza per essere usata. Ha delle limitazioni sui dati estratti.

Quindi se per caso avete (come me) un NOKIA con il cavetto CA-101 “probabilmente”la versione 1 che viene fornita com TRIAL non funziona.