Sottotitolo: far parlare aiuta o... dovrebbe.

 

Fare il CTU non è facile, si ha una grande responsabilità.Ogni affermazione deve essere supportata da una "evidenza" tecnica e comunque per il ruolo che si ricopre (consulente del Giudice) si ha tutti contro. La cosa più a rischio è  far passare idee o sensazioni sulla vicende come fatti confermati dall'analisi. Questo lo sanno bene gli avvocati.

 

Alla domanda: "..e quindi lei, che idea si è fatto?"

 

La risposta è stata: "... non ho riscontrato elementi sufficienti ad avvalorare un'ipotesi concreta su quanto successo"

 

CONCLUSIONI.

Le domande che vi vengono rivolte servono a colui che giudica.

 

 

 

Sottotitolo: emulare un PC SUSPECT con VMWARE (PLAYER).

 

Questa volta facciamo un salto nel passato nel periodo "dopo Napster" (2003 - 2004) quando si cominciava a parlare di reti decentrallizate sullo stile usato da "GNUTELLA" . Grazie ad un download di file "non permessi" tracciato dagli inquirenti (IP e nome utente usato dal programma client)  un utente si è trovato (a distanza di anni) davanti ad un Giudice. Già il solo fatto di individuare il file "scaricato" nel PC dell'utente porterebbe alla più ovvia delle conclusioni e a un risultato già garantito. Però, è giusto verificare se anche tutto il "contorno" porta alla medesima conclusione. Il contorno è nel nostro caso il client P2P usato per il download. Si tratta di un programma gratuito ma non "open" come verrebbe da pensare quando si cita tale vocabolo (gratuito). Tutte le informazioni e le le impostazioni del programma vengono scritte in due file binari. Due sono le strade: decodificare i file o avviare il PC e "guardarci dentro". Pur considerando la prima soluzione molto più elegante e professionale, opto per la seconda più sbrigativa dato che, al giorno d'oggi, l'operazione di emulazione di un disco SUSPECT acquisito in formato RAW (dd) comporta la perdita di meno di una decina di minuti (usando MOUNTIMAGEPRO e LIVEVIEW). Diverso era il discorso qualche anno fa.

 

La discussione in dibattimento è stata  dunque improntata sulla spiegazione di cosa si intende per "tecnologia virtuale" e come riprodurre la stessa vista come operazione "ripetibile". Naturalmente, una macchina virtuale costruita sulla base (disco) di una macchina reale è certamente uno strumento per la FORENSICS ma non la soluzione per tutte le analisi.

 

CONCLUSIONI.

L'avvocato dell'indagato ha patteggiato.

 

 

 

Sottotitolo: dimostrare che sono stati "wippati".

 

Può il contenuto di alcuni file cancellati (superiori al GIGA) sparire senza lasciare traccia?.

 

Vi sono una serie di operazione e ipotesi da verificare per dare una risposta definitiva. Ma se non individuate il software usato saranno sempre e solo delle ipotesi. Spetta quindi alla vostra bravura convincere chi vi ascolta ricostruendo i fatti in base a "dati tangibili" e posti in correlazione con il "contorno". Bisogna fare però attenzione ad non uscire dal contesto dell'analisi che avete effettuato. La "controparte" se ben preparata e con la scusa che VOI siete l'esperto di qualsiasi cosa attinente all'informatica potrebbe portarvi facilmente fuori tema facendovi correre il rischio di incappare in qualche "strafalcione".

 

Nel caso in esame, non ho trovato il software usato per il WIPING ma tutta una serie di "tracce" tangibili  che fanno presumere ad un suo uso. L'Avvocato del difensore è stato molto abile nell'uscire dal contesto fino a quando ho dovuto ribadire con fermezza:

 

"Non è nel quesito che mi è stato posto e comunque non era rilevante ai fini della mia analisi".

 

 

CONCLUSIONI.

Non sottovalutate mai le domande che vi vengono poste se non sono inerenti alla vostra analisi. Senza "l'arma del delitto" non è detto che le vostre conclusioni abbiano il giusto peso.

 

 

 

Sottotitolo: non ho idea di cosa sto scaricando con il P2P.

 

Qualche giorno fa, ero in Udienza  in qualità di CTU per un caso di detenzione e condivisione di materiale “non permesso". Attraverso un programma P2P erano stati scaricati diversi file multimediali di carattere CP assieme ad una grande quantità di materiale per adulti. La linea difensiva tenuta dal collega CTP è stata di convincere il Giudice che tali "scarichi" avvenivano in maniera "massiva" ovvero selezionando liste di file senza tenere conto dell'eventuale contenuto. Tali liste venivano recuperate usando chiavi di ricerca "vaghe" del tipo "S*X". Peccato che tali "ipotesi" non fossero suffragate da prove tangibili: elenco dei file con data e ora, elenco delle chiavi estratte. Premetto che il tutto è successo nel 2005 e quindi posso capire che il collega abbia avuto le stesse difficoltà che ho incontrato io nell'analizzare il programma di P2P. Dal canto mio, ho difeso la mia ipotesi (scarico volontario) presentando i vari file con relative date di inizio scarico e completamento per far notare i diversi giorni in cui tale materiale è stato recuperato. Naturalmente se avessi individuato le chiavi di ricerca, avremmo appurato megliola realtà dei fatti. Per la consapevolezza del materiale condiviso è bastato dimostrare (file di log e *.ini) che l'utente conosceva il programma, ovvero  aveva cambiato il percorso e il nome della directory di "download" e di quella temporanea.

 

CONCLUSIONI.

Non dimenticate mai di verificare se i file scaricati possono essere stati inclusi in un Download "massivo" ma soprattutto cercate di "estrarre" le chiavi di ricerca magari andando a "ricostruire" il PC SUSPECT usando la tecnologia virtuale.

 

 

 

Sottotitolo: dd con blocco Hardware in scrittura.

 

Di recente sono stato chiamato a testimoniare in qualità di CTU ad un’udienza (penale) per un caso di detenzione di materiale “non permesso".

 

Il tutto è iniziato con la richiesta da parte della difesa di un rinvio. Nulla di singolare se non fosse per il  motivo strettamente tecnico e non banale: il CTP non è stato in grado di esaminare la copia che, a suo tempo, gli fu consegnata.

 

15 Mesi Prima.

A inizio primavera mi viene affibbiata un'analisi su un Hard Disk per ricercare un dato tipo di materiale di cui si ipotizza la detenzione. Le operazioni vengono concordate con la presenza del CTP che a poche ore prima dell’inizio risulta irreperibile. All’ora stabilita e senza la presenza del CTP le operazioni di copia vengono avviate come stabilito dal Verbale di Conferimento dell'Incarico. Il contenutodell' Hard Disk (SUSPECT) viene riversato prima su un Hard Disk (EVIDENCE) per la mia analisi e poi su un altro (EVIDENCE) per il CTP. Otteniamo un "bitstream image" contenuto in una serie di file. E' il classico risultato che si ottiene con il  comando “dd” ridiretto su un file.

 

Lo strumento usato è ICS IMAGEMASSTER SOLOIII FORENSIC (Opzione "Linux Capture") che isola l'Hard Disk SUSPECT in READ-ONLY. Comodità di questo strumento è la semplicità con qui si verifica l'HASH fra il SUSPECT e il bitstream image.

(Per la stessa operazione in passato usavo un Write-Blocker Hardware e la distribuzione HELIX).

 

Torniamo ai giorni nostri.

Durante l'accesa discussione sulla data della nuova udienza incrocio lo sguardo del mio collega CTP. Ne nasce una interessante "discussione" che vi riporto im modo sintetico.

 

LP: “E' lei il CTP?”

CTP: "Salve, si, sono io..."

 

LP: “Come mai non è riuscito ad analizzare la copia ISO che le ho fatto avere?”

CTP: “Non so, mi sembra che non fosse un’immagine ISO...”

 

LP: “Dopo che non è riuscito ad aprirla, ha verificato che l’HASH corrispondesse a quello che le ho fornito io?”

CTP: “Certo, ma probabilmente l’immagine è venuta male….”

 

LP: “Ma i due HASH coincidevano?”

CTP: “Si”

 

....breve attimo di silenzio....

 

LP: “Ma con cosa ha cercato di aprirla?”

CTP: “Ma non so… non mi ricordo bene… è passato tanto tempo… comunque se è un file ISO lo si apre anche con NERO.”

 

LP: “Con NERO? Ma che Software usa per le sue analisi?”

CTP: “Ma… è da un po’ che non ne faccio, non mi ricordo…non mi viene il nome. Comunque non mi può fare la copia della partizione e basta?”

 

LP:”Copia della partizione? Tipo un ghost o le copio tutti i file su un disco?”

CTP:” Si esatto, anzi sarebbe meglio!!!”

LP: “NO, NON POSSO.”

 

CTP: “Quindi?”

LP: “Quindi le faccio una copia settore per settore di tutto il disco.”

 

CTP: “Poi lo apro con NERO?”

 

....breve attimo di silenzio....

 

LP: “NO, poi lo vede come se fosse un disco normale e può usare Windows Explorer. Arrivederci."

 

La conversazione che, a primo impatto, può sembrare buffa è in realtà desolante e mi astengo da ulteriori commenti. Di fondo mi rimane un dubbio: se avessi rediretto il bitstream image su un Hard Disk avrei risparmiato un giorno di ferie?

 

CONCLUSIONI.

Indipendentemente dalla risposta, ritengo che il bitstream image su file sia la soluzione migliore per molteplici aspetti che vanno dalla maggiore robustezza alla più semplice portabilità. Si parla molto anche del formato compresso utilizzato da Encase ma questa è un'altra storia.

 

EPILOGO.

Mi sarei fermato qui se non fosse che giusto ieri mattina ricevo una telefonata da un'altro collega CTP che mi chiede:

 

"Quella copia che mi hai fatto, con cosa la apro?"

 

Quindi, il prossimo "articolo" sarà: "Come vedo/analizzo/esporto  il contenuto di una immagine bitstream senza chiamare il CTU".

 

 

Durante lo svolgimento delle Perizie su Hard Disk di norma uso ICS IMAGEMASSTER SOLOIII per le copie dei dischi. Di recente, lavorando con alcuni colleghi CTP abbiamo avuto la necessità di effettuare copie parallele dello stesso DISCO SUSPECT, una per me e una per il collega. Il SOLOIII consente in simultanea di eseguire tale copia ma in un paio di occasioni avendo due HD EVIDENCE di diverse marche e velocità (MAXTOR e Western Digital) abbiamo riscontrato un peggiormento della velocità di copia attorno ai 1200 MB/Sec rispetto ai quasi 2000-2500 MB/Sec con un unico HD EVIDENCE. (I motivi, tanti,  possono essere discussi nel FORUM). Stavo quindi cercando uno strumento veloce è PORTATILE per fare la copia di due dischi senza ricorrere alla copia SETTORE X SETTORE (non mi serve inquanto devo solo fare la "copia della copia" che altro non è che uno o più file ISO). Mi sono ricordato della notizia che mi aveva riferito un collega durante l'ultima InfoSecurity. Allo Stand della ICS avevano un piccolo dispositivo per fare le copie IT di dischi. Incuriosito mi sono informato, sia dal sito della ICS e sia direttamente dal rappresentante ITALIA (grazie Marco). Venivo quindi a conoscenza della versione FORENSIC che, da quanto letto, rispetto la versione IT ha il blocco in scrittura su uno dei due connettori (suggerisco prima di continuare a leggere questo "racconto" di documentarsi un minimo sul prodotto). Senza tanti pensieri, ho ordinato e ricevuto giusto ieri il nuovo dispositivo ICS Disk Jockey modello FORENSIC (senza macchia rossa).

 

Vediamo cosa troviamo di utile al suo interno.

 

Oltre al dispositivo munito di alimentare (supporta i 220V) che però ha da un estremo un spina americana (tipo NEMA 1-15) troviamo un utile adattare della ADDONICS IDE TO SATA molto utile. Le varie cavetterie sono in dotazione per dischi da 3,5". Manca l' adattatore per dischi da 2,5". La confezione è molto piccola e pratica da portare in viaggio. Unica pecca, non c'è un manuale di istruzioni (che si scarica dal sito) ma un foglio di QUICK-START, molto QUICK.

 

Una delle cose che l'acquirente dovrebbe conoscere prima dell'acquisto è che il dispositivo supporta SOLO DISCHI ULTRADMA (ci riferiamo a HD che usino almeno il protocollo ATA-4 introdotto nel 1998). Giustamente avevo a disposizione per la mia prova un HD Western Digital da 2,5 GB e un Maxtor da 10 GB che se per il Maxtor posso avere il dubbio se sia o meno UDMA, per il WD sicuramente non lo è.

 

Ho quindi iniziato ad esplorare il dispositivo. Il Disk Jockey comunica con l'utente attraverso SUONI e intermittenze del LED di POWER. Ha un tasto BLU per accenderlo e due LED (uno per ogni connettore) che indicano l'accesso al disco: ROSSO (OCCUPATO) VERDE (LIBERO).

 

Le prime due modalità di lavoro 0 e 1 consentono di collegare il dispositivo ad un PC e di vedere i dischi come se fossero collegati con un dispositivo USB. L'unica differenza è nella modalità di accesso. Con 1 tutti e due i dischi sono in READONLY mentre nella modalità 0 il disco collegato nello slot DESTINATION DISK2 è in READ/WRITE. La prima cosa che emerge e che lo potete usare come WRITEBLOCKER (anche se leggermente più costoso rispetto ai WriteBlocker della TABLEAU) sia per PATA e dischi SATA. Con la modalità 1 ho calcolato l'HASH del disco WD da 2,5GB collegato nello slot SOURCE DISK1 (non si è accorto che non è UDMA). Per la copia, abbiamo a disposizione due modalità: 2 e 3. Da manuale (e da verifica fatta sul campo), le due modalità eseguono una copia da DISCO1 a DISCO2 (da WD 2,5GB a Maxtor 10GB) SETTORE X SETTORE. L'unica differenza è che in modalità 2 non vengono copiate le aree HPA e DCO. L'utilità di non copiare tali aree mi lascia perplesso (per un prodotto FORENSIC) ma lo stesso manuale consiglia di usare sempre la modalità 3. Durante la copia, il LED del POWER diventa intermittente e in base al tempo in cui rimane acceso indica la percentuale copiata. A temine, se le cose sono andate bene, si ode un beep finale e il dispositivo si spegne. Ho verificato più volte la bontà dell'operazione confrontando HASH del disco e delle partizioni, nessun errore o hash non coincidente. A questo punto, finita la copia, volendo la si può far controllare anche allo stesso dispositivo utilizzando la modalità 4. Peccato che in questo caso lo stesso si accorge che i dispositivi non sono UDMA e inizia a emettere dei beep secondo una combinazione predefinita per indicare l'errore. Leggendo (finalmente) il manuale, viene consigliato ogni volta prima di eseguire qualsiasi operazione di fare un check dei vari HD collegandoli uno ad uno ed mettendo il dispositivo in modalità 5. Questa modalità verifica che l'HD sia compatibile (UDM e PIOLINO nel MASTER). I risultati sono ovvi. Maxtor COMPATIBILE ma WD NO. Le ultime due modalità 6 e 7 servono per il WIPING del disco rispettivamente 1 passata o 7 passate per lo standard DOD.

 

CONCLUSIONI.

Per un prezzo non elevato e la semplicità d'uso e consigliato a chi abbia una discreta esperienza ed idea di quello che sta facendo. E' sicuramente uno strumento da abbinare al SOLOIII o al  LOGICUBE (vedi anche il fratello FORENSIC TALON) o  HARDCOPY della DIGITAL INTELLIGENCE.