SlideShare una empresa de Scribd logo

2009 10-24 foss-e-computer-forensics

Davide Gabrini
Davide Gabrini

Docenza tenuta presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano, durante la tavola rotonda delle Forze dell'Ordine svoltasi nell'ambito del corso di perfezionamento in computer forensics e investigazioni digitali.

Tecnología
1 de 45
Descargar para leer sin conexión
FOSS nella Computer Forensics LinuxDay 2009 Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits LinuxDay 2009 Davide Gabrini Digital Forensic Jedi Pavia/Vigevano, 24 ottobre 2009
FOSS nella Computer Forensics LinuxDay 2009 Chi sono Il pinguino investigatore: l’open source per Davide ‘Rebus’ Gabrini l’informatica forense Per chi lavoro non è un mistero. Presentazioni Oltre a ciò: Applicazione Consulente tecnico e Perito forense Open vs Closed Docente di sicurezza informatica e Acquisizione Intercettazioni computer forensics per Corsisoftware srl Distribuzioni Come vedete non sono qui in divisa  Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Computer Forensics Il pinguino investigatore: l’open source per l’informatica Da Wikipedia: “computer forense forensics is a technological, Presentazioni systematic inspection of the Applicazione computer system and its Open vs Closed contents for evidence or Acquisizione supportive evidence of a Intercettazioni crime or other computer use Distribuzioni that is being inspected” Analisi Man pages Community L’obiettivo è dunque quello di evidenziare dei Credits fatti pertinenti l’indagine da sottoporre a giudizio Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Cosa NON è Il pinguino investigatore: l’open source per Fantascienza televisiva: CSI, NCIS, l’informatica forense Criminal Minds, RIS ecc. propinano Presentazioni solitamente boiate Applicazione …e al cinema è anche peggio! Open vs Closed Acquisizione Intercettazioni Distribuzioni Anche gli organi di Analisi informazione (non del Man pages Community settore) spesso instillano Credits convinzioni del tutto infondate… Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Scopi di un’analisi forense Il pinguino investigatore: l’open source per Confermare o escludere un evento l’informatica forense Individuare tracce e informazioni utili Presentazioni a circostanziarlo Applicazione Open vs Closed Acquisire e conservare le tracce in Acquisizione maniera idonea, che garantisca integrità e non ripudiabilità Intercettazioni Distribuzioni Analisi Man pages Interpretare e correlare le evidenze Community acquisite Credits Riferire con precisione ed efficienza, in Davide Gabrini maniera idonea Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Le fasi canoniche Il pinguino investigatore: l’open source per l’informatica forense Identificazione Presentazioni Applicazione Open vs Closed Acquisizione / Preservazione Acquisizione Intercettazioni Distribuzioni Analisi Analisi / Valutazione Man pages Community Credits Presentazione Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source Il pinguino investigatore: l’open source per Trasparenza l’informatica forense gli strumenti sono conosciuti, documentabili e verificabili anche dalla controparte Presentazioni Applicazione Disponibilità Open vs Closed non occorre acquistare software specifici (e costosi) Acquisizione per svolgere o controllare un'attività Intercettazioni Distribuzioni Varietà Analisi esistono soluzioni e supporto per una miriade di Man pages situazioni, anche improbabili (ad esempio per i filesystem) Community Credits Adattabilità i sorgenti sono modificabili per ogni esigenza Davide Gabrini specifica Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source Il pinguino investigatore: l’open source per Flessibilità l’informatica forense il paradigma Unix "tutto è un file" permette di gestire uniformemente anche situazioni nuove Presentazioni Applicazione Modalità read-only Open vs Closed Linux è per natura poco invasivo e ha comunque Acquisizione supporto nativo per modalità di sola lettura Intercettazioni Distribuzioni Loopback Analisi l'uso di loopback device e di device mapper può Man pages rivelarsi molto utile Community Credits Aderenza agli standard spesso i software commerciali usano Davide Gabrini implementazioni arbitrarie e formati chiusi Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source Il pinguino investigatore: l’open source per Ricerca iSEC Partners 1 agosto 2007 l’informatica forense Test eseguito tramite fuzzing casuale o indotto su file, filesystem e dischi Presentazioni Obiettivi: Applicazione Open vs Closed Data hiding Acquisizione Code execution Intercettazioni Evidence corruption Distribuzioni Analisi Denial of service Man pages Tool analizzati: Community The Sleuth Kit Credits Encase Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source - TSK Il pinguino investigatore: l’open source per TSK comprende(va) 23 diversi tool l’informatica forense Sono state rilevate vulnerabilità in grado di Presentazioni causare crash e loop infiniti in 4 di essi: Applicazione fls Open vs Closed Acquisizione fsstat Intercettazioni icat Distribuzioni Analisi istat Man pages Community La disponibilità del codice ha reso possibile Credits l'analisi dei bug e la loro correzione Tutti i bug sono stati fixati dalla versione 2.09 (oggi siamo alla 3.0.1) Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source - Encase Il pinguino investigatore: l’open source per Testate le versioni 6.2 e 6.5 l’informatica forense Sono state rilevate vulnerabilità in grado di impedire l'acquisizione di dischi, generare crash Presentazioni e nascondere dati. Applicazione Open vs Closed L'indisponibilità del codice ha reso problematico Acquisizione isolare i bug e impossibile correggerli Intercettazioni Il servizio di acquisizione remota della versione Distribuzioni Enterprise è soggetto ad hijacking a causa di Analisi autenticazione debole Man pages Community Guidance Software ha minimizzato ma risolto i Credits problemi di Encase Forensic dalla versione 6.7, mentre ha negato il problema di Encase Enterprise Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Identificazione e Acquisizione Il pinguino investigatore: Riconoscimenti di device e filesystem l’open source per l’informatica forense lshw Presentazioni hdparm Applicazione disk_stat (da Sleuthkit) Open vs Closed Acquisizione fdisk, mmls ecc. Intercettazioni Distribuzioni Esecuzione copie bit-level Analisi raw=interoperabilità Man pages (e compliance con la RFC3227) Community Credits dd dd_rescue Davide Gabrini Digital Forensic Jedi dcfldd, dc3dd ecc.
FOSS nella Computer Forensics LinuxDay 2009 Acquisizione Il pinguino investigatore: l’open source per Potenza delle pipe  l’informatica forense split Presentazioni md5sum, sha1, 2hash, DHash… Applicazione Open vs Closed gzip Acquisizione netcat Intercettazioni Distribuzioni redirezione stderr 2> Analisi Man pages Front-end grafici Community AIR Credits Adepto Davide Gabrini Guymager Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Acquisizione Il pinguino investigatore: l’open source per Esempi di comandi per l'acquisizione: l’informatica forense # dd if=/dev/hda of=hda.dd conv=noerror,sync bs=512 Presentazioni Applicazione # dd if=/dev/hda conv=noerror,sync bs=512 | split –b Open vs Closed 1550m – hda_image Acquisizione Intercettazioni # dd if=/dev/hda1 skip=0 conv=noerror ibs=512 | gzip -1 | Distribuzioni dd of=hda1.raw.gz seek=0 obs=8192 Analisi Man pages # dcfldd if=/dev/hda conv=noerror,sync hashwindow=0 hashlog=hda.md5.txt of=hda.dd Community Credits Server# nc –l –p 31337 > image.dd Client# dd if=/dev/hda bs=2048 | nc {$ip_server} 3l337 Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 AIR Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Adepto Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Intercettazioni Il pinguino investigatore: l’open source per Formato pcap come standard de facto l’informatica forense tcpdump Presentazioni wireshark Applicazione tshark Open vs Closed Acquisizione ettercap Intercettazioni snort Distribuzioni Analisi airodump Man pages kismet Community Credits ecc. ecc. Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Intercettazioni Il pinguino investigatore: l’open source per Ricostruzione del traffico l’informatica forense wireshark (statistiche, flussi, filtri…) Presentazioni tcptrace (estrazione flussi vari protocolli) Applicazione chaosreader (flussi e report HTML) Open vs Closed Acquisizione tcpxtract (estrapolazione file per tipo) Intercettazioni PyFlag Xplico Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Xplico (1) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Xplico (2) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Xplico (3) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Distribuzioni Il pinguino investigatore: l’open source per Distribuzioni live specifiche l’informatica forense c'erano una volta FIRE e Knoppix std… Presentazioni Helix Applicazione Open vs Closed DEFT Acquisizione FCCD Intercettazioni Distribuzioni BackTrack Analisi ForLex, Caine, PlainSight… Man pages Community L'analista può scegliere i suoi Credits strumenti, ma non può comunque Davide Gabrini scegliere l'obiettivo dell'analisi…  Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Virtual appliance Il pinguino investigatore: l’open source per Virtualizzare la workstation di analisi l’informatica forense può dare alcuni vantaggi: Presentazioni Ambiente ottimizzato e preconfigurato Applicazione Facilità di backup, migrazione, Open vs Closed Acquisizione ripristino e duplicazione Intercettazioni Remotizzazione dei task di analisi Distribuzioni Analisi Distribuzioni in virtual machine: Man pages Community CERT Forensic Appliance Credits SANS Investigative Forensic Toolkit (SIFT) Davide Gabrini V-DEFT Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Sleuthkit & Autopsy Il pinguino investigatore: fsstat analizza la struttura dei filesystem l’open source per l’informatica forense Filename Presentazioni fls naviga un'immagine forense senza montarla Applicazione Metadati Open vs Closed Acquisizione icat estrae file basandosi sul primo settore Intercettazioni ils naviga nella struttura dei metadati Distribuzioni istat visualizza i metadati di una entry Analisi Man pages Data unit Community Credits dcat estrae il contenuto di un blocco dls estrae informazioni dallo slack space Davide Gabrini dstat visualizza informazioni su un cluster Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Sleuthkit & Autopsy Il pinguino investigatore: disk_sreset resetta il disco tramite comandi ATA l’open source per l’informatica a basso livello forense mactime costruisce una timeline delle attività Presentazioni svolte sui file Applicazione sorter verifica il matching tra l'estensione di un Open vs Closed Acquisizione file e il suo effettivo contenuto. Inoltre verifica i file Intercettazioni di sistema utilizzando il database NIST NSRL Distribuzioni Autopsy, infine, è il front-end web ai tool di Analisi Sleuthkit, che consente di lavorare anche da remoto Man pages con un qualunque browser Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 PyFlag Il pinguino investigatore: l’open source per Forensic and Log Analysis GUI l’informatica forense interfaccia web per l'analisi di immagini forensi, di file di log, di dump pcap e di dump della RAM Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 PyFlag (1) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 PyFlag (2) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 PyFlag (3) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Supporti ottici Il pinguino investigatore: l’open source per DVDisaster per il recupero dati da l’informatica forense supporti parzialmente danneggiati Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Mobile Forensics Il pinguino investigatore: l’open source per TULP2G solo per Windows, ma l’informatica forense comunque open source, per l'acquisizione di Presentazioni dati da cellulari e dispositivi mobili Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Mobile Forensics Il pinguino investigatore: l’open source per MIAT (Mobile Internal Acquisition Tool) è l’informatica forense un progetto open source dell'Università “Tor Presentazioni Vergata” di Roma per la mobile forensics di Applicazione dispositivi Symbian e Windows Mobile Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Analisi dei file Il pinguino investigatore: l’open source per file per riconoscere il tipo del file l’informatica forense dal suo contenuto Presentazioni retriever e catfish per Applicazione indicizzare file di vario tipo Open vs Closed strings, grep, sort, uniq… Acquisizione Intercettazioni xxd, Khexedit ecc… Distribuzioni Analisi konqueror per browsing e anteprime Man pages Fccu-docprop, jhead, pdfinfo, hachoir ecc. Community Credits per estrarre i metadati da file e documenti stegdetect (outguess) rileva contenuti Davide Gabrini Digital Forensic Jedi steganografati
FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: Sistema Il pinguino investigatore: l’open source per rifiuti e dumpster_dive analizzano le l’informatica forense informazioni relative al cestino di Windows Presentazioni GrokEVT per il log degli eventi di Applicazione Windows Open vs Closed lnk-parser per i file di link di Windows Acquisizione Intercettazioni Registro di Windows: Distribuzioni regviewer Analisi Man pages RegLookup Community RegRipper Credits UserAssist.pl Davide Gabrini SandMan (hiberfil.sys) Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: RAM Il pinguino investigatore: l’open source per Acquisizione l’informatica forense msramdmp Presentazioni Applicazione memimage (Princeton University) Open vs Closed MDD Acquisizione Intercettazioni Win32dd (user-space!) Distribuzioni Analisi Man pages Analisi Community Volatility Credits keyfinder (Princeton University) Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: Browser Il pinguino investigatore: l’open source per pasco analizza i file index.dat relativi l’informatica forense alla cronologia di Internet Explorer Presentazioni galleta e cookie_cruncher analizzano i cookie di Internet Explorer Applicazione Open vs Closed Acquisizione Intercettazioni mork.pl (history.dat di Firefox) Distribuzioni f3e (Firefox e Chrome) Analisi Man pages Safari Forensic Tools per le Community Credits evidence di Safari Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: Mail Il pinguino investigatore: l’open source per eindeutig per archivi DBX di Outlook l’informatica forense Express Presentazioni grepmail per archivi mbox, anche Applicazione Open vs Closed compressi Acquisizione libpst per il parsing degli archivi PST di Microsoft Outlook Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Macchine virtuali Il pinguino investigatore: l’open source per Può essere utile eseguire un'immagine del l’informatica forense sistema in analisi all'interno di una VM Presentazioni Virtualbox Applicazione QEMU Open vs Closed Acquisizione XEN Intercettazioni LiveView Distribuzioni Analisi Le password sono aggirabili: Man pages Community chntpw Credits cmosPwd Davide Gabrini Ophcrack Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 File carving Il pinguino investigatore: fatback recupera file cancellati da partizioni FAT l’open source per l’informatica forense e2recover inceve su partizioni Ext2 foremost e scalpel eseguono ricerca sequenziale Presentazioni e pattern matching basandosi su un set di header e Applicazione footer Open vs Closed Acquisizione photorec fa altrettanto: nato per recuperare Intercettazioni immagini, le sue potenzialità sono state estese Distribuzioni bmap estrae lo slack space alla fine di ogni file Analisi Man pages dls, come detto, consente di estrarre da Community un'immagine forense i dati relativi ai cluster Credits non allocati Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Rilevamento Malware Il pinguino investigatore: l’open source per chkrootkit l’informatica rkhunter forense Presentazioni Applicazione zeppoo Open vs Closed Acquisizione ClamAV Intercettazioni Distribuzioni Analisi Man pages Possibile rilevare file sospetti Community Credits anche con l'uso di apposite hash Davide Gabrini table (p.e. NSRL) Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Reverse engineering Il pinguino investigatore: l’open source per Dissezione (buona fortuna…) l’informatica forense Fenris Presentazioni faust Applicazione Open vs Closed gdb Acquisizione Intercettazioni Distribuzioni Analisi Analisi live del malware Man pages emulazione (Wine) Community Credits sandbox (chroot, Plash) Davide Gabrini Virtual Machine Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Beginner’s guide: www.linuxleo.com Il pinguino investigatore: l’open source per The law envorcement and forensic l’informatica forense examiner's introduction tu Linux Presentazioni Utilissima guida, rivolta a Applicazione principianti, per muovere i Open vs Closed primi passi nel mondo della Acquisizione Intercettazioni computer forensics attuata Distribuzioni con strumenti open source Analisi Sono a disposizione anche Man pages alcune immagini forensi di Community esempio per esercitazioni Credits didattiche Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Realtà associative Il pinguino investigatore: l’open source per IISFA: International Information l’informatica forense Systems Forensic Association Presentazioni www.iisfa.it Applicazione Open vs Closed Unica associazione del settore Acquisizione Intercettazioni presente in Italia Distribuzioni Analisi Mailing list nazionale, seminari, Man pages convegni, workshop, corsi di formazione Community Credits Certificazione CIFI (Certified Davide Gabrini Information Forensics Investigator) Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Mailing list e community Il pinguino investigatore: l’open source per Linux_forensics (Yahoo Groups) l’informatica forense Win4n6 (Yahoo Groups) Presentazioni Applicazione CFI (Computer Forensics Italy) Open vs Closed www.cfitaly.net Acquisizione Intercettazioni Distribuzioni ML forensics su Sikurezza.org Analisi www.sikurezza.org/lists/listinfo/forensics Man pages Community Credits Davide Gabrini Digital Forensic Jedi
FOSS nella Computer Forensics LinuxDay 2009 Teniamoci in contatto… Il pinguino investigatore: l’open source per Davide Rebus Gabrini l’informatica forense e-mail: rebus@mensa.it Presentazioni davide.gabrini@poliziadistato.it Applicazione GPG Public Key: (available on keyserver.linux.it) Open vs Closed www.tipiloschi.net/rebus.asc Acquisizione www.tipiloschi.net/davidegabrini.asc Intercettazioni KeyID: 0x176560F7 Distribuzioni Instant Messaging: Analisi MSN therebus@hotmail.com Man pages ICQ 115159498 Community Yahoo! therebus Skype therebus Credits Queste e altre cazzate su http://www.tipiloschi.net e Davide Gabrini http://rebus.splinder.com Digital Forensic Jedi

Recomendados

Dropbox Forensics Analysis
Dropbox Forensics AnalysisDropbox Forensics Analysis
Dropbox Forensics AnalysisAlessandro Della Rocca
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Data Hiding
Data HidingData Hiding
Data HidingNaLUG
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Lezione InternetWorking: Switches e Funzionalità
Lezione InternetWorking: Switches e FunzionalitàLezione InternetWorking: Switches e Funzionalità
Lezione InternetWorking: Switches e FunzionalitàLuca Matteo Ruberto
 
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...Team per la Trasformazione Digitale
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsdenis frati
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 

Recomendados

Dropbox Forensics Analysis
Dropbox Forensics AnalysisDropbox Forensics Analysis
Dropbox Forensics AnalysisAlessandro Della Rocca
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Data Hiding
Data HidingData Hiding
Data HidingNaLUG
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Lezione InternetWorking: Switches e Funzionalità
Lezione InternetWorking: Switches e FunzionalitàLezione InternetWorking: Switches e Funzionalità
Lezione InternetWorking: Switches e FunzionalitàLuca Matteo Ruberto
 
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...Team per la Trasformazione Digitale
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsdenis frati
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
Live forensics e Cloud Computing
Live forensics e Cloud ComputingLive forensics e Cloud Computing
Live forensics e Cloud ComputingDavide Gabrini
 
Open Source
Open SourceOpen Source
Open SourceFrancesco Taurino
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Quantification and specification of data corruption in Computer Forensic's in...
Quantification and specification of data corruption in Computer Forensic's in...Quantification and specification of data corruption in Computer Forensic's in...
Quantification and specification of data corruption in Computer Forensic's in...Mariagrazia Cinti
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
Beni Culturali 2.1 Introduzione Os
Beni Culturali 2.1 Introduzione OsBeni Culturali 2.1 Introduzione Os
Beni Culturali 2.1 Introduzione OsCaterina Policaro
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiDavide Gabrini
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
P2P systems, torrent, P2P solutions, Course for University of Florence
P2P systems, torrent, P2P solutions, Course for University of FlorenceP2P systems, torrent, P2P solutions, Course for University of Florence
P2P systems, torrent, P2P solutions, Course for University of FlorencePaolo Nesi
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Piergiorgio Borgogno
 
Workshop sul Free Software Ordine degli Ingegneri
Workshop sul Free Software Ordine degli IngegneriWorkshop sul Free Software Ordine degli Ingegneri
Workshop sul Free Software Ordine degli IngegneriAngelo Giordano
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceNaLUG
 
Nanni Bassetti - Smau Bari 2011
Nanni Bassetti - Smau Bari 2011Nanni Bassetti - Smau Bari 2011
Nanni Bassetti - Smau Bari 2011SMAU
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09Ruggero Tonelli
 
Informatica Presente e Futuro
Informatica Presente e FuturoInformatica Presente e Futuro
Informatica Presente e FuturoFrancesco De Angelis
 
Internet degli Oggetti e Hardware Sociali
Internet degli Oggetti e Hardware SocialiInternet degli Oggetti e Hardware Sociali
Internet degli Oggetti e Hardware SocialiLeandro Agro'
 
Flavia marzano opensource_openknowledge
Flavia marzano opensource_openknowledgeFlavia marzano opensource_openknowledge
Flavia marzano opensource_openknowledgeFlavia Marzano
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Marco Morana
 

Más contenido relacionado

Similar a 2009 10-24 foss-e-computer-forensics

Live forensics e Cloud Computing
Live forensics e Cloud ComputingLive forensics e Cloud Computing
Live forensics e Cloud ComputingDavide Gabrini
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Quantification and specification of data corruption in Computer Forensic's in...
Quantification and specification of data corruption in Computer Forensic's in...Quantification and specification of data corruption in Computer Forensic's in...
Quantification and specification of data corruption in Computer Forensic's in...Mariagrazia Cinti
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
Beni Culturali 2.1 Introduzione Os
Beni Culturali 2.1 Introduzione OsBeni Culturali 2.1 Introduzione Os
Beni Culturali 2.1 Introduzione OsCaterina Policaro
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiDavide Gabrini
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
P2P systems, torrent, P2P solutions, Course for University of Florence
P2P systems, torrent, P2P solutions, Course for University of FlorenceP2P systems, torrent, P2P solutions, Course for University of Florence
P2P systems, torrent, P2P solutions, Course for University of FlorencePaolo Nesi
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Piergiorgio Borgogno
 
Workshop sul Free Software Ordine degli Ingegneri
Workshop sul Free Software Ordine degli IngegneriWorkshop sul Free Software Ordine degli Ingegneri
Workshop sul Free Software Ordine degli IngegneriAngelo Giordano
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceNaLUG
 
Nanni Bassetti - Smau Bari 2011
Nanni Bassetti - Smau Bari 2011Nanni Bassetti - Smau Bari 2011
Nanni Bassetti - Smau Bari 2011SMAU
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09Ruggero Tonelli
 
Internet degli Oggetti e Hardware Sociali
Internet degli Oggetti e Hardware SocialiInternet degli Oggetti e Hardware Sociali
Internet degli Oggetti e Hardware SocialiLeandro Agro'
 
Flavia marzano opensource_openknowledge
Flavia marzano opensource_openknowledgeFlavia marzano opensource_openknowledge
Flavia marzano opensource_openknowledgeFlavia Marzano
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Marco Morana
 

Similar a 2009 10-24 foss-e-computer-forensics (20)

Live forensics e Cloud Computing
Live forensics e Cloud ComputingLive forensics e Cloud Computing
Live forensics e Cloud Computing
 
Open Source
Open SourceOpen Source
Open Source
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Quantification and specification of data corruption in Computer Forensic's in...
Quantification and specification of data corruption in Computer Forensic's in...Quantification and specification of data corruption in Computer Forensic's in...
Quantification and specification of data corruption in Computer Forensic's in...
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 
Beni Culturali 2.1 Introduzione Os
Beni Culturali 2.1 Introduzione OsBeni Culturali 2.1 Introduzione Os
Beni Culturali 2.1 Introduzione Os
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
P2P systems, torrent, P2P solutions, Course for University of Florence
P2P systems, torrent, P2P solutions, Course for University of FlorenceP2P systems, torrent, P2P solutions, Course for University of Florence
P2P systems, torrent, P2P solutions, Course for University of Florence
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking Engineering
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)
 
Workshop sul Free Software Ordine degli Ingegneri
Workshop sul Free Software Ordine degli IngegneriWorkshop sul Free Software Ordine degli Ingegneri
Workshop sul Free Software Ordine degli Ingegneri
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
 
Nanni Bassetti - Smau Bari 2011
Nanni Bassetti - Smau Bari 2011Nanni Bassetti - Smau Bari 2011
Nanni Bassetti - Smau Bari 2011
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open source
 
Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09
 
Informatica Presente e Futuro
Informatica Presente e FuturoInformatica Presente e Futuro
Informatica Presente e Futuro
 
Internet degli Oggetti e Hardware Sociali
Internet degli Oggetti e Hardware SocialiInternet degli Oggetti e Hardware Sociali
Internet degli Oggetti e Hardware Sociali
 
Flavia marzano opensource_openknowledge
Flavia marzano opensource_openknowledgeFlavia marzano opensource_openknowledge
Flavia marzano opensource_openknowledge
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'
 

2009 10-24 foss-e-computer-forensics

  • 1. FOSS nella Computer Forensics LinuxDay 2009 Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits LinuxDay 2009 Davide Gabrini Digital Forensic Jedi Pavia/Vigevano, 24 ottobre 2009
  • 2. FOSS nella Computer Forensics LinuxDay 2009 Chi sono Il pinguino investigatore: l’open source per Davide ‘Rebus’ Gabrini l’informatica forense Per chi lavoro non è un mistero. Presentazioni Oltre a ciò: Applicazione Consulente tecnico e Perito forense Open vs Closed Docente di sicurezza informatica e Acquisizione Intercettazioni computer forensics per Corsisoftware srl Distribuzioni Come vedete non sono qui in divisa  Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 3. FOSS nella Computer Forensics LinuxDay 2009 Computer Forensics Il pinguino investigatore: l’open source per l’informatica Da Wikipedia: “computer forense forensics is a technological, Presentazioni systematic inspection of the Applicazione computer system and its Open vs Closed contents for evidence or Acquisizione supportive evidence of a Intercettazioni crime or other computer use Distribuzioni that is being inspected” Analisi Man pages Community L’obiettivo è dunque quello di evidenziare dei Credits fatti pertinenti l’indagine da sottoporre a giudizio Davide Gabrini Digital Forensic Jedi
  • 4. FOSS nella Computer Forensics LinuxDay 2009 Cosa NON è Il pinguino investigatore: l’open source per Fantascienza televisiva: CSI, NCIS, l’informatica forense Criminal Minds, RIS ecc. propinano Presentazioni solitamente boiate Applicazione …e al cinema è anche peggio! Open vs Closed Acquisizione Intercettazioni Distribuzioni Anche gli organi di Analisi informazione (non del Man pages Community settore) spesso instillano Credits convinzioni del tutto infondate… Davide Gabrini Digital Forensic Jedi
  • 5. FOSS nella Computer Forensics LinuxDay 2009 Scopi di un’analisi forense Il pinguino investigatore: l’open source per Confermare o escludere un evento l’informatica forense Individuare tracce e informazioni utili Presentazioni a circostanziarlo Applicazione Open vs Closed Acquisire e conservare le tracce in Acquisizione maniera idonea, che garantisca integrità e non ripudiabilità Intercettazioni Distribuzioni Analisi Man pages Interpretare e correlare le evidenze Community acquisite Credits Riferire con precisione ed efficienza, in Davide Gabrini maniera idonea Digital Forensic Jedi
  • 6. FOSS nella Computer Forensics LinuxDay 2009 Le fasi canoniche Il pinguino investigatore: l’open source per l’informatica forense Identificazione Presentazioni Applicazione Open vs Closed Acquisizione / Preservazione Acquisizione Intercettazioni Distribuzioni Analisi Analisi / Valutazione Man pages Community Credits Presentazione Davide Gabrini Digital Forensic Jedi
  • 7. FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source Il pinguino investigatore: l’open source per Trasparenza l’informatica forense gli strumenti sono conosciuti, documentabili e verificabili anche dalla controparte Presentazioni Applicazione Disponibilità Open vs Closed non occorre acquistare software specifici (e costosi) Acquisizione per svolgere o controllare un'attività Intercettazioni Distribuzioni Varietà Analisi esistono soluzioni e supporto per una miriade di Man pages situazioni, anche improbabili (ad esempio per i filesystem) Community Credits Adattabilità i sorgenti sono modificabili per ogni esigenza Davide Gabrini specifica Digital Forensic Jedi
  • 8. FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source Il pinguino investigatore: l’open source per Flessibilità l’informatica forense il paradigma Unix "tutto è un file" permette di gestire uniformemente anche situazioni nuove Presentazioni Applicazione Modalità read-only Open vs Closed Linux è per natura poco invasivo e ha comunque Acquisizione supporto nativo per modalità di sola lettura Intercettazioni Distribuzioni Loopback Analisi l'uso di loopback device e di device mapper può Man pages rivelarsi molto utile Community Credits Aderenza agli standard spesso i software commerciali usano Davide Gabrini implementazioni arbitrarie e formati chiusi Digital Forensic Jedi
  • 9. FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source Il pinguino investigatore: l’open source per Ricerca iSEC Partners 1 agosto 2007 l’informatica forense Test eseguito tramite fuzzing casuale o indotto su file, filesystem e dischi Presentazioni Obiettivi: Applicazione Open vs Closed Data hiding Acquisizione Code execution Intercettazioni Evidence corruption Distribuzioni Analisi Denial of service Man pages Tool analizzati: Community The Sleuth Kit Credits Encase Davide Gabrini Digital Forensic Jedi
  • 10. FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source - TSK Il pinguino investigatore: l’open source per TSK comprende(va) 23 diversi tool l’informatica forense Sono state rilevate vulnerabilità in grado di Presentazioni causare crash e loop infiniti in 4 di essi: Applicazione fls Open vs Closed Acquisizione fsstat Intercettazioni icat Distribuzioni Analisi istat Man pages Community La disponibilità del codice ha reso possibile Credits l'analisi dei bug e la loro correzione Tutti i bug sono stati fixati dalla versione 2.09 (oggi siamo alla 3.0.1) Davide Gabrini Digital Forensic Jedi
  • 11. FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source - Encase Il pinguino investigatore: l’open source per Testate le versioni 6.2 e 6.5 l’informatica forense Sono state rilevate vulnerabilità in grado di impedire l'acquisizione di dischi, generare crash Presentazioni e nascondere dati. Applicazione Open vs Closed L'indisponibilità del codice ha reso problematico Acquisizione isolare i bug e impossibile correggerli Intercettazioni Il servizio di acquisizione remota della versione Distribuzioni Enterprise è soggetto ad hijacking a causa di Analisi autenticazione debole Man pages Community Guidance Software ha minimizzato ma risolto i Credits problemi di Encase Forensic dalla versione 6.7, mentre ha negato il problema di Encase Enterprise Davide Gabrini Digital Forensic Jedi
  • 12. FOSS nella Computer Forensics LinuxDay 2009 Identificazione e Acquisizione Il pinguino investigatore: Riconoscimenti di device e filesystem l’open source per l’informatica forense lshw Presentazioni hdparm Applicazione disk_stat (da Sleuthkit) Open vs Closed Acquisizione fdisk, mmls ecc. Intercettazioni Distribuzioni Esecuzione copie bit-level Analisi raw=interoperabilità Man pages (e compliance con la RFC3227) Community Credits dd dd_rescue Davide Gabrini Digital Forensic Jedi dcfldd, dc3dd ecc.
  • 13. FOSS nella Computer Forensics LinuxDay 2009 Acquisizione Il pinguino investigatore: l’open source per Potenza delle pipe  l’informatica forense split Presentazioni md5sum, sha1, 2hash, DHash… Applicazione Open vs Closed gzip Acquisizione netcat Intercettazioni Distribuzioni redirezione stderr 2> Analisi Man pages Front-end grafici Community AIR Credits Adepto Davide Gabrini Guymager Digital Forensic Jedi
  • 14. FOSS nella Computer Forensics LinuxDay 2009 Acquisizione Il pinguino investigatore: l’open source per Esempi di comandi per l'acquisizione: l’informatica forense # dd if=/dev/hda of=hda.dd conv=noerror,sync bs=512 Presentazioni Applicazione # dd if=/dev/hda conv=noerror,sync bs=512 | split –b Open vs Closed 1550m – hda_image Acquisizione Intercettazioni # dd if=/dev/hda1 skip=0 conv=noerror ibs=512 | gzip -1 | Distribuzioni dd of=hda1.raw.gz seek=0 obs=8192 Analisi Man pages # dcfldd if=/dev/hda conv=noerror,sync hashwindow=0 hashlog=hda.md5.txt of=hda.dd Community Credits Server# nc –l –p 31337 > image.dd Client# dd if=/dev/hda bs=2048 | nc {$ip_server} 3l337 Davide Gabrini Digital Forensic Jedi
  • 15. FOSS nella Computer Forensics LinuxDay 2009 AIR Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 16. FOSS nella Computer Forensics LinuxDay 2009 Adepto Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 17. FOSS nella Computer Forensics LinuxDay 2009 Intercettazioni Il pinguino investigatore: l’open source per Formato pcap come standard de facto l’informatica forense tcpdump Presentazioni wireshark Applicazione tshark Open vs Closed Acquisizione ettercap Intercettazioni snort Distribuzioni Analisi airodump Man pages kismet Community Credits ecc. ecc. Davide Gabrini Digital Forensic Jedi
  • 18. FOSS nella Computer Forensics LinuxDay 2009 Intercettazioni Il pinguino investigatore: l’open source per Ricostruzione del traffico l’informatica forense wireshark (statistiche, flussi, filtri…) Presentazioni tcptrace (estrazione flussi vari protocolli) Applicazione chaosreader (flussi e report HTML) Open vs Closed Acquisizione tcpxtract (estrapolazione file per tipo) Intercettazioni PyFlag Xplico Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 19. FOSS nella Computer Forensics LinuxDay 2009 Xplico (1) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 20. FOSS nella Computer Forensics LinuxDay 2009 Xplico (2) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 21. FOSS nella Computer Forensics LinuxDay 2009 Xplico (3) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 22. FOSS nella Computer Forensics LinuxDay 2009 Distribuzioni Il pinguino investigatore: l’open source per Distribuzioni live specifiche l’informatica forense c'erano una volta FIRE e Knoppix std… Presentazioni Helix Applicazione Open vs Closed DEFT Acquisizione FCCD Intercettazioni Distribuzioni BackTrack Analisi ForLex, Caine, PlainSight… Man pages Community L'analista può scegliere i suoi Credits strumenti, ma non può comunque Davide Gabrini scegliere l'obiettivo dell'analisi…  Digital Forensic Jedi
  • 23. FOSS nella Computer Forensics LinuxDay 2009 Virtual appliance Il pinguino investigatore: l’open source per Virtualizzare la workstation di analisi l’informatica forense può dare alcuni vantaggi: Presentazioni Ambiente ottimizzato e preconfigurato Applicazione Facilità di backup, migrazione, Open vs Closed Acquisizione ripristino e duplicazione Intercettazioni Remotizzazione dei task di analisi Distribuzioni Analisi Distribuzioni in virtual machine: Man pages Community CERT Forensic Appliance Credits SANS Investigative Forensic Toolkit (SIFT) Davide Gabrini V-DEFT Digital Forensic Jedi
  • 24. FOSS nella Computer Forensics LinuxDay 2009 Sleuthkit & Autopsy Il pinguino investigatore: fsstat analizza la struttura dei filesystem l’open source per l’informatica forense Filename Presentazioni fls naviga un'immagine forense senza montarla Applicazione Metadati Open vs Closed Acquisizione icat estrae file basandosi sul primo settore Intercettazioni ils naviga nella struttura dei metadati Distribuzioni istat visualizza i metadati di una entry Analisi Man pages Data unit Community Credits dcat estrae il contenuto di un blocco dls estrae informazioni dallo slack space Davide Gabrini dstat visualizza informazioni su un cluster Digital Forensic Jedi
  • 25. FOSS nella Computer Forensics LinuxDay 2009 Sleuthkit & Autopsy Il pinguino investigatore: disk_sreset resetta il disco tramite comandi ATA l’open source per l’informatica a basso livello forense mactime costruisce una timeline delle attività Presentazioni svolte sui file Applicazione sorter verifica il matching tra l'estensione di un Open vs Closed Acquisizione file e il suo effettivo contenuto. Inoltre verifica i file Intercettazioni di sistema utilizzando il database NIST NSRL Distribuzioni Autopsy, infine, è il front-end web ai tool di Analisi Sleuthkit, che consente di lavorare anche da remoto Man pages con un qualunque browser Community Credits Davide Gabrini Digital Forensic Jedi
  • 26. FOSS nella Computer Forensics LinuxDay 2009 PyFlag Il pinguino investigatore: l’open source per Forensic and Log Analysis GUI l’informatica forense interfaccia web per l'analisi di immagini forensi, di file di log, di dump pcap e di dump della RAM Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 27. FOSS nella Computer Forensics LinuxDay 2009 PyFlag (1) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 28. FOSS nella Computer Forensics LinuxDay 2009 PyFlag (2) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 29. FOSS nella Computer Forensics LinuxDay 2009 PyFlag (3) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 30. FOSS nella Computer Forensics LinuxDay 2009 Supporti ottici Il pinguino investigatore: l’open source per DVDisaster per il recupero dati da l’informatica forense supporti parzialmente danneggiati Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 31. FOSS nella Computer Forensics LinuxDay 2009 Mobile Forensics Il pinguino investigatore: l’open source per TULP2G solo per Windows, ma l’informatica forense comunque open source, per l'acquisizione di Presentazioni dati da cellulari e dispositivi mobili Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 32. FOSS nella Computer Forensics LinuxDay 2009 Mobile Forensics Il pinguino investigatore: l’open source per MIAT (Mobile Internal Acquisition Tool) è l’informatica forense un progetto open source dell'Università “Tor Presentazioni Vergata” di Roma per la mobile forensics di Applicazione dispositivi Symbian e Windows Mobile Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 33. FOSS nella Computer Forensics LinuxDay 2009 Analisi dei file Il pinguino investigatore: l’open source per file per riconoscere il tipo del file l’informatica forense dal suo contenuto Presentazioni retriever e catfish per Applicazione indicizzare file di vario tipo Open vs Closed strings, grep, sort, uniq… Acquisizione Intercettazioni xxd, Khexedit ecc… Distribuzioni Analisi konqueror per browsing e anteprime Man pages Fccu-docprop, jhead, pdfinfo, hachoir ecc. Community Credits per estrarre i metadati da file e documenti stegdetect (outguess) rileva contenuti Davide Gabrini Digital Forensic Jedi steganografati
  • 34. FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: Sistema Il pinguino investigatore: l’open source per rifiuti e dumpster_dive analizzano le l’informatica forense informazioni relative al cestino di Windows Presentazioni GrokEVT per il log degli eventi di Applicazione Windows Open vs Closed lnk-parser per i file di link di Windows Acquisizione Intercettazioni Registro di Windows: Distribuzioni regviewer Analisi Man pages RegLookup Community RegRipper Credits UserAssist.pl Davide Gabrini SandMan (hiberfil.sys) Digital Forensic Jedi
  • 35. FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: RAM Il pinguino investigatore: l’open source per Acquisizione l’informatica forense msramdmp Presentazioni Applicazione memimage (Princeton University) Open vs Closed MDD Acquisizione Intercettazioni Win32dd (user-space!) Distribuzioni Analisi Man pages Analisi Community Volatility Credits keyfinder (Princeton University) Davide Gabrini Digital Forensic Jedi
  • 36. FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: Browser Il pinguino investigatore: l’open source per pasco analizza i file index.dat relativi l’informatica forense alla cronologia di Internet Explorer Presentazioni galleta e cookie_cruncher analizzano i cookie di Internet Explorer Applicazione Open vs Closed Acquisizione Intercettazioni mork.pl (history.dat di Firefox) Distribuzioni f3e (Firefox e Chrome) Analisi Man pages Safari Forensic Tools per le Community Credits evidence di Safari Davide Gabrini Digital Forensic Jedi
  • 37. FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: Mail Il pinguino investigatore: l’open source per eindeutig per archivi DBX di Outlook l’informatica forense Express Presentazioni grepmail per archivi mbox, anche Applicazione Open vs Closed compressi Acquisizione libpst per il parsing degli archivi PST di Microsoft Outlook Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 38. FOSS nella Computer Forensics LinuxDay 2009 Macchine virtuali Il pinguino investigatore: l’open source per Può essere utile eseguire un'immagine del l’informatica forense sistema in analisi all'interno di una VM Presentazioni Virtualbox Applicazione QEMU Open vs Closed Acquisizione XEN Intercettazioni LiveView Distribuzioni Analisi Le password sono aggirabili: Man pages Community chntpw Credits cmosPwd Davide Gabrini Ophcrack Digital Forensic Jedi
  • 39. FOSS nella Computer Forensics LinuxDay 2009 File carving Il pinguino investigatore: fatback recupera file cancellati da partizioni FAT l’open source per l’informatica forense e2recover inceve su partizioni Ext2 foremost e scalpel eseguono ricerca sequenziale Presentazioni e pattern matching basandosi su un set di header e Applicazione footer Open vs Closed Acquisizione photorec fa altrettanto: nato per recuperare Intercettazioni immagini, le sue potenzialità sono state estese Distribuzioni bmap estrae lo slack space alla fine di ogni file Analisi Man pages dls, come detto, consente di estrarre da Community un'immagine forense i dati relativi ai cluster Credits non allocati Davide Gabrini Digital Forensic Jedi
  • 40. FOSS nella Computer Forensics LinuxDay 2009 Rilevamento Malware Il pinguino investigatore: l’open source per chkrootkit l’informatica rkhunter forense Presentazioni Applicazione zeppoo Open vs Closed Acquisizione ClamAV Intercettazioni Distribuzioni Analisi Man pages Possibile rilevare file sospetti Community Credits anche con l'uso di apposite hash Davide Gabrini table (p.e. NSRL) Digital Forensic Jedi
  • 41. FOSS nella Computer Forensics LinuxDay 2009 Reverse engineering Il pinguino investigatore: l’open source per Dissezione (buona fortuna…) l’informatica forense Fenris Presentazioni faust Applicazione Open vs Closed gdb Acquisizione Intercettazioni Distribuzioni Analisi Analisi live del malware Man pages emulazione (Wine) Community Credits sandbox (chroot, Plash) Davide Gabrini Virtual Machine Digital Forensic Jedi
  • 42. FOSS nella Computer Forensics LinuxDay 2009 Beginner’s guide: www.linuxleo.com Il pinguino investigatore: l’open source per The law envorcement and forensic l’informatica forense examiner's introduction tu Linux Presentazioni Utilissima guida, rivolta a Applicazione principianti, per muovere i Open vs Closed primi passi nel mondo della Acquisizione Intercettazioni computer forensics attuata Distribuzioni con strumenti open source Analisi Sono a disposizione anche Man pages alcune immagini forensi di Community esempio per esercitazioni Credits didattiche Davide Gabrini Digital Forensic Jedi
  • 43. FOSS nella Computer Forensics LinuxDay 2009 Realtà associative Il pinguino investigatore: l’open source per IISFA: International Information l’informatica forense Systems Forensic Association Presentazioni www.iisfa.it Applicazione Open vs Closed Unica associazione del settore Acquisizione Intercettazioni presente in Italia Distribuzioni Analisi Mailing list nazionale, seminari, Man pages convegni, workshop, corsi di formazione Community Credits Certificazione CIFI (Certified Davide Gabrini Information Forensics Investigator) Digital Forensic Jedi
  • 44. FOSS nella Computer Forensics LinuxDay 2009 Mailing list e community Il pinguino investigatore: l’open source per Linux_forensics (Yahoo Groups) l’informatica forense Win4n6 (Yahoo Groups) Presentazioni Applicazione CFI (Computer Forensics Italy) Open vs Closed www.cfitaly.net Acquisizione Intercettazioni Distribuzioni ML forensics su Sikurezza.org Analisi www.sikurezza.org/lists/listinfo/forensics Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  • 45. FOSS nella Computer Forensics LinuxDay 2009 Teniamoci in contatto… Il pinguino investigatore: l’open source per Davide Rebus Gabrini l’informatica forense e-mail: rebus@mensa.it Presentazioni davide.gabrini@poliziadistato.it Applicazione GPG Public Key: (available on keyserver.linux.it) Open vs Closed www.tipiloschi.net/rebus.asc Acquisizione www.tipiloschi.net/davidegabrini.asc Intercettazioni KeyID: 0x176560F7 Distribuzioni Instant Messaging: Analisi MSN therebus@hotmail.com Man pages ICQ 115159498 Community Yahoo! therebus Skype therebus Credits Queste e altre cazzate su http://www.tipiloschi.net e Davide Gabrini http://rebus.splinder.com Digital Forensic Jedi