Apr 202010
 

Fra una pausa e l’altra (o anche fra la fine di una Consulenza e l’ìnizio di un’altra) aggiorno il Software di Analisi. Di solito i giorni successivi passo il mio tempo nei FORUM per capire “dove sbaglio”. Oggi tocca a DNA (Distribuited Network Attack) un “brutaforce” distribuito su diversi Computer in rete. In passato non ho mai avuto risultati “sbalorditivi” da questo tool ma a me piace per come è stata pensata l’architettura.

La versione precedente (3.5.4) non ha mai dato problemi.
Oggi ho fatto l’upgrade. Tutto bene sul “supervisor” (il “distributore di lavoro” che lo assegna ai vari “Worker”) ma risultati diversi con i “worker”…. ovvero la “bassa manovalanza”.

Su due dei quattro Computer che ho a disposizione il SERVIZIO di AD va in FAULT:

Faulting application worker_service.exe, version 0.0.0.0, faulting module worker_service.exe, version 0.0.0.0, fault address 0x000113a5.

Sui due PC dove il servizio funziona, ho installato anche la suite FTK.
Che manchi qualche componente che la “Release note” non riporta?
Dove sbaglio???

PS: ci vediamo a Roma il 23 (LUMSA).
PS2: ci vediamo al Cybercop 2010 a Milano (sotto altre vesti quest’anno).
PS3: qualcuno ha un indirizzo mail “segreto” di Jonathan Zdziarski dove risponde?

UPDATE (23/10/2010): nessuna NEWS, quindi apro un TICKET.
UPDATE (26/10/2010): Il 24 mi hanno contattato con il suggerimento: re-installa e cancella la cartella. Nulla è cambiato. Andiamo avanti.
UPDATE (27/10/2010): Il 26 mi hanno suggerito: re-installa e cancella la cartella e le “entry” nel Registry. Nulla è cambiato. Andiamo avanti.

Feb 262010
 

Avrei voluto intitolare il post: “Errata Corrige”.

Giusto ieri durante il corso avevo più volte sottolineato il fatto che i prodotti di Access Data non visualizzano la data di ultima modifica dei metadati relativi ad un File System NTFS.

Bene, sembra che le cose cambieranno visto che la nuova versione di FTK IMAGER 2.7.0 lo indica.

ftk_imager_2_71

UPDATE(09/03/2010): A questo punto: “Errata Corrige”.

Non leggersi le “release note” e installare subito (alla “utonto”) ogni tanto porta a compiere errori. E’ dalla versione 2.6.1.62 che viene riportata la data di modifica dei METADATA.
(THANKS TO KENDO)

Feb 162010
 

Testando FTK 3.0.4 sono incappato nel problema che segue: importare un Hash Md5 all’interno della Library di FTK.

Il problema è risaputo (inizio 2009)  fin dalla versione 2.X e il WORKAROUND funziona egregiamente.

Vediamo i passi da fare.

1) Create un File con estensione “.CSV” inserendo i vari Hash del tipo:

———————–INIZIO—————————

MD5

7938F1D1D333811510D6C8D8B530BEBD

8938F1D1D333811510D6C8D8B530B786

———————–FINE—————————

L’ultima riga deve rimanere vuota.

2) Importate il file da “KFF MANAGER”

3) Create un nuovo GRUPPO (oltre ai due di default: AD_Alert e AD_Ignore)

4) Assegnate al nuovo gruppo il NOME usato per importare il file “.CSV”

5) Rieseguite il KFF con l’opzione “Recheck previously processed items” se volete testare la presenza dei nuovi HASH.

Il workaround è ben indicato in alcuni post del FORUM.

Approfitto del post per suggerire ai “colleghi” che, alla prima difficoltà invece  di postare domande a destra e a manca cercate sempre le vostre risposte nei FORUM del PRODUTTORE.

Dec 312009
 

E’ da alcune settimana che mi sono “messo in testa” di installare FTK 3.0.4 su un PC (HP) con Windows 7 (64BIT). L’installazione non è andata a buon fine subito. La prima fase di installazione “unattend” di Oracle va in errore con codice: “27557″. Se lanciate “a mano” l’installazione di ORACLE  questa va a buon fine (ma non ve ne fate nulla inquanto mancano tette le personalizzazioni…).

Morale: sembra che lo script per l’installazione “silente” abbia dei problemi.

Sul forum vi sono diversi POST che segnalano l’anomalia già da tempo e le soluzioni fornite da AD sono abbastanza “sul vago” (considerazione strettamente personale).

Con tutto rispetto la proposta:  “elimina tutte le voci di registro, i file, cartelle  e reinstalla” non mi sembra professionale (considerazione sempre  strettamente personale).

Comunque sia, stamattina sul forum si sono accorti che ancora le cose non vanno:

“It is my understanding that this only happens on 64 bit windows 7 and 2008 R2. We’ve alerted the developers that this error has also been seen in Italian.”

Bene… attendo fiducioso (la diretta la trasmetto via TWITTER).

————————————————————————————-

Update 05/01/2010:

“Our developers are working on a solution to this issue for both German and Italian.”

————————————————————————————-

Update 13/01/2010:

Assieme ad altri colleghi stiamo sempre aspettando che AD sistemi le cose. Al momento non si “muove nulla”.

————————————————————————————-

Update 15/01/2010:

Di propria iniziativa il supporto Tecnico di AD mi ha scritto mandandomi i LINK per scaricare una patch e verificare se il tutto funziona. Domattina la installo. Devo ammettere che apprezzo molto l’iniziativa. Vediamo se riusciamo a far parte del gruppo di BETA-TESTING.

Dec 222009
 

In questi giorni in cui mi sto divertendo a “giocare” con Windows 7 ne escono delle “belle”. L’idea è di avere una postazione di analisi con Windows 7 per utilizzare appieno 4 processori e 6G di RAM. La realtà è quella di rimanere con XP. Ma siamo solo agli inizi.

Vediamo in breve alcune “issue” aperte:

  • FTK 3.0.4: l’installazione di ORACLE 10 va in errore a causa di una configurazione errata dello SCRIPT automatico di installazione. Morale: se si installa ORACLE a “mano” l’operazione riesce ma mi devo “inventare le configurazioni” del DB. Quindi… vediamo se AD corregge il problema. Allo stato attuale siamo in “diversi” ad attendere una riposta.
  • Encase 6.15: sia quest’ultima versione e sia le precedenti hanno dei problemi con VISTA e 7. Problema non proprio banale per chi è abituato ad usare diversi PC collegati via RDP (Remote Desktop di Microsoft).  Sembra infatti che se lanciate il programma via RDP il dongle non “viene sentito” ovvero è come se non fosse presente. Morale: il programma si avvia in modalità “acquisizione” e non “analisi”. Anche qui si sta cercando una FIX. Al momento l’unico modo è di lanciare il programma da una sessione “locale” e poi eventualmente collegarsi in RDP dalla sessione già aperta. Si può usare anche VNC e affini ma la velocità con cui ci si muove nel Desktop è troppo lenta.

Domani vediamo che mi combina X-WAYS via RDP…

Se qualcuno vuole approfondire le varie problematiche, consiglio di seguire i problemi direttamente dai forum dei produttori.

UPDATE: 24/12/2009

Nessun problema di incompatibilità di X-Ways Forensics 15.4 con Windows 7 a 64 bit anche da remoto via RDP.

Dec 222009
 

Prima di perdere la pazienza perchè dopo aver installato tutto (certificato e HASP SRM Runtime cmdline) vi accorgete che il programma non funziona) fate cosi:

  • Disinstallate i DRIVER del dongle da riga di comando: “haspdinst -r“.
  • Rimuovete il DONGLE.
  • Riavviate.

Al successivo riavvio, inserite il DONGLE e magicamente Windows 7 installarà in automatico i file.

Procedura banale ma che sembra essere l’unico Work-Around funzionante.

Dec 142009
 

Mi sono messo per gioco a testare i prodotti della PASSWARE (1.3 Free/Demo) per l’identificazione di file “criptati” e la loro decodifica. Naturalmente i file TRUECRYPT non vengono riconosciuti. Nemmeno i file criptati con quella “vecchia” applicazione “KREMLIN” che mi è sempre piaciuta (anche se una versione ha un “buco” enorme…).

Funzionano bene per i file protetti con le applicazioni di OFFICE e di WINZIP. Per i file “OFFICE 2007″ il protocollo usato per la criptazione è l’AES e quindi si utilizza il classico “brutaforce”.

Comunque sia… se si vuole nascondere qualcosa è sempre meglio usare TRUECRYPT su un portatile isolato con acceso un JAMMER WIFI ricordandosi di andare a cancellare la lista dei documenti recenti e i LINK sparsi fra registro e desktop. Non dimenticate di “Wippare” pagefiles e lo spazio libero su disco ad ogni spegnimento…

Oct 012009
 

Ho iniziato nel 2000 ad occuparmi di CF grazie all’aiuto del mio caro amico Antonio che mi ha fornito il materiale e i “casi” su cui iniziare a lavorare. Assieme a lui ho fatto molta strada e sono arrivato fino a qui. Ora ho deciso di concludere la mia esperienza diretta nella CF lasciando il mio posto ad altri. Rimangono ancora alcuni mesi per chiudere le ultime consulenze e poi mi  dedicherò solo a me stesso e alle persone che mi stanno accanto.

Ciao.

morogoro

Litiano Piccin

Jun 252009
 

E’ una notizia che circola da tempo ma potrebbe essere utile se vi capita. Se aprite una evidenza acquisita con una versione di FTK IMAGER inferiore alla 2.6 (ora attualmente siamo alla 2.6.1) e durante la fase di acquisizione avete compilato tutti i campi “sforando” la lunghezza massima (per campo) di 12 caratteri vi compare un errore che potete tranquillamente “ignorare”.

Aggiornate FTK IMAGER all’ultima versione per evitare l’antipatico avvertimento.

Jun 052009
 

Quello che sto per descrivere non è un bug e ma è un avviso ai colleghi. Il Software della PARABEN SIMCARDSEIZURE nel suo REPORT descrive una informazione estratta dalla SIM che “messa in un certo modo” può portare un consulente a commettere un errore.

La prima cosa da “fissare” per bene in mente è che il numero di cellulare della SIM CARD NON VIENE SEMPRE SCRITTO NELLA SIM CARD (non è obbligatorio). Trovate tutta la documentazione in merito qui: http://www.3gpp.org/ftp/specs/html-info/1111.htm e scaricate il file: CP-36 8.14.0 2007-06-1“  (grazie alla segnalazione di Mario Pascucci).

La pagina di riferimento è la “104″ e il campo “imputato” è questo: EF(MSISDN)

Per avere idea di cosa sia quel campo: qui il riferimento.


msisdn

Il campo è OPZIONALE (… questo la dice lunga…) e quindi può essere ignorato.

Veniamo al REPORT generato dal programma SIMSEIZURE.

simseizure1

Il “campo di interesse” è il seguente: “Phone number: 3485XXXX” e come mi hanno confermato i tecnici del supporto della PARABEN, questa informazione è l’MSISDN:

“The SIM Card Seizure program extracts the information from the MSISDN.
The number it is showing is the number that is showing up on the SIM Card.”

Fino a qui nulla da dire, il programma non altera assolutamente nulla e non apporta informazioni che non siano corrette. Il problema nasce nella loro interpretazione. Tale informazioni stanno nella sezione “GSM SIM CARD” e ad una lettura non attenta potrebbero portare il consulente ad affermare che quel numero è quello della SIM CARD.

Tale campo, non sempre è “compilato” e su alcuni telefoni lo stesso utente può inserire un valore a piacimento quale il numero di cellulare della propria “fidanzata” (se proprio non lo vuole mettere nella rubrica).

Come comportarsi?

Il numero di cellulare associato alla SIM è una informazione che ha il gestore telefonico. Tale informazionie può essere richiesta direttamente al gestore tramite l’autorità giudiziaria competente. Se avete questo dubbio vi invito a seguire questa strada.

Mar 222009
 

Ho concluso da qualche giorno un grosso lavoro di basso “profilo” ma su un numero elevato di evidenze. Una delle attività è stata di visionare qualche migliaio di filmati. In questi casi o ci si prende tutto il tempo per visionarli uno alla volta o ci si “attrezza”. 

Pur lavorando con “DB di HASH di filmati noti” non si velocizza per nulla il lavoro inquanto qualsiasi cosa deve comunque essere posta al “vaglio” dell’occhio. Ci sono però due strumenti utili: X-WAYS Forenisc e VidReport di Paul Sanderson. Mi soffermo su quest’ultimo inquanto con Paul ho collaborato per il miglioramento di questo strumento. 

VirReport è un normale player di filmati (usa i CODEC che avete installato) con delle funzionalità superiori. Ha la possibilità di estrarre tutti i frames o un range di frames o frames ad intervalli predefiniti dall’utente. Fino a quì nulla di veramente utile.

La cosa che ho trovato stupenda è la seguente:

date in pasto al programma una directory contenente tutti i filmati che avete e lanciate l’opzione “Html Report” selezionando una directory di destinazione. Il programma si incarica di selezionare da tutti i filmati un range di fotogrammi e di farne un report HTML per ogni file. Da mille filmati vi trovate con mille pagine html da “sfogliare”.

In una nottata ho estratto circa 800 filmati pari a 3G di materiale.

In questa maniera individuate i filmati di “interesse” già con un “Report” da allegare alla vostra consulenza nel quale, oltre alle informazioni sul tipo di file, vi trovate i vari fotogrammi numerati con un timestamp riferito al filmato stesso.

Naturalmente non esiste nulla di “magico”. Se il prog. trova un filmato con un HEADER danneggiato si blocca e rimane in uno stato di “freeze” persistente. A questo già da tempo Paul sta cercando di porre rimedio.

Vi sono altri progetti “storici” per trattare il più velocemente possibile i filmati quali C4M di Trevor ma anche quì l’occhio deve comunque scorrere tutto il film o parti di esso.

Per il momento, ringrazio PAUL.

Mar 202009
 

Dalla versione 6.13 di Encase ora i dispositivi della TABLEAU vengono riconosciuti e riportati nel LOG/REPORT di Encase.

La cosa può essere molto utile per chi deve leggere ed  eventualmente valutare la “bontà” della copia. Sempre che si abbia il buon “senso” di allegare i file di “log/report” alla consulenza.

Qualche info in più:

Identify storage devices as “Write Blocked” in the EnCase® reports.

Automatically expose the Host Protected Area (HPA) of a storage device.

Manually remove the Device Configuration Overlay (DCO) region of a storage device.

Nov 282008
 

E’ stata una settimana dura per un gruppo di persone di “differenti fazioni” che alla fine hanno prodotto un unico risultato: risolvere il problema. Non mi dilungo in tante parole ma l’inconveniente dello SWAP si è manifestato su entrambe  le distribuzioni in differenti modalità ma con un unico effetto non desiderato che lascio immaginare.

Lascio il dettaglio tecnico ai due sviluppatori (Stefano e Giancarlo) e invito tutti a eseguire il download delle due nuove distribuzioni. Per gli “avversari” (stiamo scherzando naturalmente) lancio la sfida al TEST per le nuove versioni future. Magari, fra qualche anno, mettiamo anche in palio dei premi.

Nov 212008
 

Questo post nasce come risposta allo tsunami di post/mail/”bloggate” che si stanno diffondendo sul web a pochi giorni dal rilascio di DEFTv4x.

Iniziamo col dire che con DEFTv4x si possono fare le stesse cose (spesso meglio) che si possono fare con DEFTv3x.

Al momento tutti i TEST che abbiamo eseguito dimostrano che, una volta avviata la distribuzione, NON “sporca” le evidenze se non a seguito dell’intervento dell’operatore. Potete tranquillamente testare la distribuzione ri-calcolando l’HASH dei dischi/partizioni di un PC in cui e avviata DEFTv4x. Meglio se utilizzate questa distribuzione su un PC con poca RAM e con installata una qualsiasi distribuzione LINUX. Vi accorgerete che la partizione di SWAP rimane “inviolata”.E quindi?La DEFT è stata sviluppata con l’idea di avere uno strumento di lavoro sul campo. Oltre a ciò offre la possibilità di “trasformarsi” in laboratorio quando viene installata su una postazione. Le conseguenti scelte di “design” hanno imposto dei vincoli.Diamo qualche accenno.Le operazioni più onerose (in termini temporali) che si desidera completare nel più breve tempo possibile sono:
  1. Calcolo dell’HASH.
  2. Copia con dd (o derivati).

La prima differenza (non a caso) che si nota rispetto ad altre distribuzioni è che all’avvio non “parte” la modalità grafica. Questa particolarità garantisce un minore tempo di avvio e un minore uso di risorse. L’uso di una interfaccia testuale permette di eseguire una serie di operazioni nella maniera più veloce possibile andando però a discapito della semplicità d’uso. Ad esempio l’ operazione del calcolo dell’HASH eseguita con il tool DHASH in ambiente “solo testo” impiega meno tempo rispetto alla stessa operazione in ambiente grafico (XFCE).

Dall’altro canto la parte grafica è necessaria per poter sfruttare le potenzialità di XPLICO come strumento di “intercettazione” ed ananlisi. Da qui la necessità di utilizzare un ambiente grafico “leggero” che comunque mette a disposizione dell’operatore ulteriori strumenti di analisi.

Rispetto alla DEFTv3, cosa è cambiato nella DEFTv4?


Molto e nulla ma apparentemente una modifica nel “comportamento della distro” sembra aver “turbato” le notti di molte persone. Probabilmente perché non è stata pubblicizzata ancora a 5 giorni dal rilascio (purtroppo non si “vive” di solo forensics).

Parlo della visualizzazione su desktop di tutte le “EVIDENZE” presenti sul PC/MAC. Ovvero, se collegate un dispositivo di storage attraverso la porta USB, compare un’icona sul DESKTOP che ne indica la presenza (con relativa dimensione).

A questo punto, se clicco sull’icona il Sistema Operativo “sente” la richiesta di mount e cerca di montarlo in scrittura. Questo comportamento è (allo stato attuale) voluto per agevolare alcune operazioni che non hanno nulla a che vedere con un’operazione di COPIA o di ANALISI di un’evidenza. Tale operazione ha, quindi,  lo stesso effetto di un comando di mount in scrittura lanciato da riga di comando  dalla HELIX2.

La DEFTv3, se visualizzasse le EVIDENZE, avrebbe lo stesso comportamento.

Che questa “nuova implementazione” abbia generato incomprensioni ed allarmi lo posso anche capire ma il tono usato da alcuni colleghi nei miei confronti lo ritengo eccessivo.

Mi fermo qui.

Nov 192008
 

Si sta diffondendo un’ondata di “panico” sul comportamento della DEFTv4 nel MOUNT dei dischi. Calma. La DEFTv4 è uno strumento di lavoro specifico per una certa attività voluto per evitare di essere un clone di HELIX2. Avrei voluto che fosse lo stesso Stefano a spiegarla ma per ragioni di lavoro è all’estero. Domani pomeriggio posto un piccolo report sull’uso della stessa. Buona serata.

Nov 182008
 

Da giorni sto cercando di contattare i “vendor” di Oxygen forensic (http://www.oxygen-forensic.com) per farmi spiegare bene il meccanismo delle licenze.  Non mi è chiara la differenza fra la Suite2 e Suite1. Messe assieme le due Suite vengono vendute a 699Euro ma mi sfugge in cosa si differenziano. Fra l’altro, se compro una Suite spero si intenda che mi danno le due versioni: “normale” e “symbian”.  Ho provato anche a chiamare i due numeri… il numero “americano” suona a vuoto e l’altro non “squilla”.

Non sono riuscito nemmeno a provare una versione “demo” in quanto la licenza temporanea via Mail sembra che non arrivi. Pure scrivendo attraverso “On Line Support Forum” non ho avuto risposta.

Qualcuno ha idee?

UPDATE (3 ore dopo)

Ecco subito una piacevole risposta del team della OXYGEN:

Dear Litiano,


 Thank you for your request.

 There are many differences, but in general Oxygen Forensic Suite 2 is the next generation of Forensic Suite 1, supporting much more mobile phones (including Nokia XXXX) and having new features.


 Actually we do not sell version 1 anymore, so the only choice is Oxygen Forensic Suite 2. Until December, 1st we have EUR 100 discount on it.


 If you will have any further questions, please do not hesitate to contact me.

Meglio di così. Fino a dicembre abbiamo uno sconto se compriamo la Suite2. Ora rispondo chiedendo anche una licenza temporanea per la versione DEMO.

UPDATE2 (il giorno dopo)

Dopo un cordiale scambio di MAIL con il commerciale della OXYGEN sono arrivato alle seguenti conclusioni:

  1. La Suite1 non è più in vendita. Solo la Suite2.
  2. Non esiste una versione “TRIAL” o DEMO per la versione 2. Al max si compra la versione che dura 30 giorni.
  3. La versione DEMO scaricabile, supporta i seguenti “cavi”: DKU-5/CA-41 e DKU-2/CA-53 e non richiede nessuna chiave o licenza per essere usata. Ha delle limitazioni sui dati estratti.

Quindi se per caso avete (come me) un NOKIA con il cavetto CA-101 “probabilmente”la versione 1 che viene fornita com TRIAL non funziona.