Litiano Piccin

PROBLEM: MountImagePro (3.X and 4.X) is unable to mount evidence files .E01 from Tableau TD1 Forensic Duplicator.

Workaround: convert the evidence file .E01 in .E01 or RAW With FTK IMAGER.
Status: working with GETDATA to solve the issue.

.

Uno dei miei peggiori difetti (ne ho veramente tanti…) è che ogni tanto (spesso) sparisco. Non rispondo più alle telefonate e ai messaggi SMS rispondo dopo giorni (se mi ricordo). Un brutto affare avere a che fare con me. Come mai? La risposta è semplice: SCADENZE. E’ il momento più delicato in cui dopo tante ipotesi bisogna concludere su carta il proprio lavoro. Più “delicato” è il “reato” (stasera vesto i panni del CTP del PM) più complesse sono le “CONCLUSIONI”. Questo periodo è stato alquanto “complesso”, fra metadati/CDFS e l’idea di iniziare a presentare delle TIMELINE grafiche per specifiche tipologie di reato.

E alla fine?

Alla fine passata la SCADENZA si pensa alla prossima e mi ritrovo già con l’acqua alla gola con l’aggiunta della preparazione di alcuni articoli e seminari.

Ma ne vale la pena?

Dipende da cosa ti spinge ad andare avanti.
8 Mesi fa avevo mollato tutto perchè mi ero stancato. Alcuni mesi senza fare nulla (due certificazioni e un paio di docenze) e l’insistenza della mia famiglia mi hanno fatto ripartire ma in maniera differente.

Mentre prima a qualsiasi richiesta la risposta era: “SI”, ora non è più scontato. L’ausilio di un collaboratore (che sto “caricando” ben bene ) che mi segue e che sto formando è stato un “colpo di fortuna”. Non è facile trovare una persona disposta a “sacrificare il tempo libero” ed essere umile allo stesso tempo.
Ma soprattutto pazienta quando… sparisco e quando “predico” su come si DEVE “lavorare”.

A proposito di umiltà: assai rara in questo settore e io stesso quando leggo certe cose e certe consulenze divento veramente arrogante.

Un esempio?
Quando leggo dei post di “colleghi” che ignorano la differenza fra una consulenza e una perizia… beh…. divento proprio insopportabile.

E non parliamo delle continue lamentele sull’andamento dei pagamenti (cifre… non i ritardi). Sarebbe prima opportuno discutere sul contenuto del materiale che si presenta al cliente e dopo del conto…. non sempre e solo del conto…

Vabbè… stasera sono polemico (altro difetto che però con la vecchiaia si affievolisce).

Chiudo con il motivo originale per cui dovevo fare il post ma poi è uscito quello che è uscito.
Fino a metà settembre sono in regime di “scadenza” quindi lasciate perdere il cell/sms. Mi trovate solo via MAIL. Buone ferie (a chi le fa).

.

Reference (ECMA-376) on:
MS-DOC – v20100602 Word Binary Format (.doc) Structure Specification (Copyright Microsoft)
Page 359: LASTSAVEDBY Specified in [ECMA-376] part 4, section 2.16.5.38.

http://www.ecma-international.org/publications/standards/Ecma-376.htm
download: ECMA-376 1st edition Part 4
Open: Office Open XML Part 4
Pag: 1542

2.16.5.38 LASTSAVEDBY
Syntax: LASTSAVEDBY [ switch ]
Description: Retrieves the name of the user who last modified and saved the current document, as recorded in the LastModifiedBy element of the Core File Properties part.
Field Value: The name of the user who last modified and saved the current document.

.

Giovedì 10 pomeriggio “presento” iXAM, uno strumento molto interessante per la “copia” fisica di un IPHONE senza l’uso del JAILBREAK. iXAM è un prodotto della FTS (Forensic Telecommunications Service). Se ce tempo, approfitto per dare una spiegazione di cosa è effettivamente il JAILBREAK (prima versione realizzata nel 2008).

.

A distanza da un mese dell’apertura di un TICKET mi ha contattato oggi nuovamente il supporto (era da un bel po’ di giorni che erano…spariti). Una bella novità: AD ha aperto un supporto “EUROPEO” disponibile durante l’orario d’ufficio “nostro”. Un passo avanti.

.

Come sempre, tra la conclusione di una Consulenza e l’inizio di un’altra mi “diverto” (c’è poco da divertirsi, l’aggiornamento degli strumenti di lavoro è una cosa IMPORTANTE e non da sottovalutare) ad aggiornare i vari software/firmware e a testarli in “laboratorio” (è da evitare il TEST sulle evidenze). Stanotte è toccano al nuovo firmware del TABLEAU TD1 FORENSIC DUPLICATOR. Mi interessava verificare l’efficacia della compressione in formato EWF. Il risultato ottimale lo si ha usando un disco VUOTO.

EVIDENCE: TOSHIBA 2,5″ IDE da 80GB

FORMATO RAW
L’operazione di copia su un SEAGATE da 1,5TB SATA è durata circa 50 minuti. Dimensione TOTALE: 80GB.

FORMATO EWF
L’operazione di copia su un SEAGATE da 1,5TB SATA è durata circa 50 minuti. Dimensione TOTALE: 512MB.

Stesso tempo ma risultati differenti.

Altro TEST:
Verifica dell’immagine ottenuta con il TD1 con FTK IMAGER. Ho verificato che l’HASH per entrambe coincidesse.

FORMATO EWF
L’operazione è durata 12 Minuti.

Formato RAW
L’operazione è durata 40 Minuti.

Come emerge chiaramente, il formato EWF è molto comodo per “trasporto” e anche per la successiva verifica di integrità.

Non è finita: il tempo di elaborazione (carving, hash, keywords, …etc) è più veloce su un’immagine compressa?

Non lo so. Alle 3.30 mi sono messo a dormire.

.

Non lo so, ma sono immerso nelle onde 24 ore al giorno.

Nessuno si è mai chiesto: “com’è il laboratorio di un Tecnico Forense?”
O meglio: “quanto dista il laboratorio del Tecnico Forense dal proprio letto?”

Il mio è a 15 cm e comprende alcuni PC (per l’elaborazione), alcuni NAS (per le evidenze), i SERVER (per l’archiviazione dei risultati) e i classici dispositivi di rete (SWITCH, FIREWALL e da ultimo pure un AP su VLAN dedicata). Tutto organizzato e sistemato alla perfezione in modo da occupare il minimo spazio possibile ed avere il minimo impatto “estetico” con il mio letto “indonesiano”.

“E il rumore???”
Risolto da alcuni anno con la sordità.

“E le emissioni elettromagnetiche?”

Mah…me lo chiedo pure io… e se lo sono chiesto alcuni Giudici della Corte di Appello di Brescia (Sezione Lavoro).

Questa è la sentenza.

Questo invece è il commento dell’Avvocato dott.ssa Stefania Borga, Foro di Venezia.

.

E’ uno di dubbi che spesso mi sorgono durante le notti (previa nomina della Procura) passate ad analizzare diversi TERA di dati. Magari è l’unica foto su svariati migliaia passate al setaccio.

Cosa si fa?

Non sono io che decido: non sono un medico o un consulente competente per stabilire l’età di un adolescente (se non si tratta di una foto palese). Io mi limito a rispondere ad un quesito segnalando nella mia Consulenza il materiale che “potrebbe” essere attinente al quesito stesso. Giustificando (punto fondamentale) l’origine e la provenienza di tale immagine.

Basta questo?

No, non sempre basta il buon senso, ci vuole altro, magari una sentenza della Cassazione (Terza Sezione Penale – sentenza 406 – 04/03/2010) che indichi cosa si intende per materiale PEDO.

“…materiale che ritrae o rappresenta visivamente un minore degli ani diciotto implicato o coinvolto in una condotta sessuale esplicita, quale può essere anche la semplice esibizione lasciva dei genitali o della regione pubica.”

L’interpretazione della foto ruota attorno alla parola “esplicita”.

.

Incredibile… non ci avrei mai sperato…. nuova “future” dal firmware 6.70 rilasciato l’11 Maggio. Che sia merito della GUIDANCE???

.

E’ finito anche il Cybercop 2010 con la vittoria della squadra capitanata da D’Agostino. Complimenti.

Lorenzo e Mario anche stavolta hanno voluto lasciare spazio agli altri: bravi ma io avevo “puntato” su di voi… mannaggia… (scherzo naturalmente… siete sempre un esempio di sportività). Quest’anno ero molto curioso di vedere all’opera Michele con il suo programma. La “sbavatura” sulla freccia è stata un’utile occasione per vederlo all’opera. Ho trovato un grande Massimiliano…. ogni occasione di lavorare con lui è uno “spasso”…

E’ stato comunque un Cybercop delle “conferme”.

La conferma dell’amicizia sempre più stretta con Luigi, Francesco, Riccardo e Luca.
La conferma che Marco è veramente “tosto”… non solo in “birreria”….
La conferma che Salvatore è più giovane dal vivo che in foto…
La conferma che le “auto-proclamazioni” alla fine vengono sempre “smascherate”.
La conferma che chi si è rialzato prendendo una nuova direzione è meglio che torni a sedersi.
La conferma che di solo di Computer Forensics, per il momento, non si vive.
La conferma che su una persona mi sono sbagliato.

La novità più importante?
Questa: “IISFA Computer Forensics Survey 2010″
Leggendo questa ricerca ho visto il profilo del Consulente “calzare a pennello” con il mio modo di fare. I Consulenti di oggi hanno bisogno di maggiori nozioni di diritto per avvicinarsi sempre più a Magistrati e Avvocati e allo stesso tempo dobbiamo specializzarci su settori specifici. Ritengo che la figura del Consulente di DF a 360° sia morta.

.

Fra una pausa e l’altra (o anche fra la fine di una Consulenza e l’ìnizio di un’altra) aggiorno il Software di Analisi. Di solito i giorni successivi passo il mio tempo nei FORUM per capire “dove sbaglio”. Oggi tocca a DNA (Distribuited Network Attack) un “brutaforce” distribuito su diversi Computer in rete. In passato non ho mai avuto risultati “sbalorditivi” da questo tool ma a me piace per come è stata pensata l’architettura.

La versione precedente (3.5.4) non ha mai dato problemi.
Oggi ho fatto l’upgrade. Tutto bene sul “supervisor” (il “distributore di lavoro” che lo assegna ai vari “Worker”) ma risultati diversi con i “worker”…. ovvero la “bassa manovalanza”.

Su due dei quattro Computer che ho a disposizione il SERVIZIO di AD va in FAULT:

Faulting application worker_service.exe, version 0.0.0.0, faulting module worker_service.exe, version 0.0.0.0, fault address 0×000113a5.

Sui due PC dove il servizio funziona, ho installato anche la suite FTK.
Che manchi qualche componente che la “Release note” non riporta?
Dove sbaglio???

PS: ci vediamo a Roma il 23 (LUMSA).
PS2: ci vediamo al Cybercop 2010 a Milano (sotto altre vesti quest’anno).
PS3: qualcuno ha un indirizzo mail “segreto” di Jonathan Zdziarski dove risponde?

UPDATE (23/10/2010): nessuna NEWS, quindi apro un TICKET.
UPDATE (26/10/2010): Il 24 mi hanno contattato con il suggerimento: re-installa e cancella la cartella. Nulla è cambiato. Andiamo avanti.
UPDATE (27/10/2010): Il 26 mi hanno suggerito: re-installa e cancella la cartella e le “entry” nel Registry. Nulla è cambiato. Andiamo avanti.

.

Avrei voluto intitolare il post: “Errata Corrige”.

Giusto ieri durante il corso avevo più volte sottolineato il fatto che i prodotti di Access Data non visualizzano la data di ultima modifica dei metadati relativi ad un File System NTFS.

Bene, sembra che le cose cambieranno visto che la nuova versione di FTK IMAGER 2.7.0 lo indica.

UPDATE(09/03/2010): A questo punto: “Errata Corrige”.

Non leggersi le “release note” e installare subito (alla “utonto”) ogni tanto porta a compiere errori. E’ dalla versione 2.6.1.62 che viene riportata la data di modifica dei METADATA.
(THANKS TO KENDO)

.

Giovedì pomeriggio ho l’occasione di andare a parlare di DIGITAL FORENSICS al corso organizzato dall’IISFA. Finalmente vado a discutere un po’ su tre bei software: ENCASE (6.15), FTK (3.X) e X-WAYS (15.X) messi a confronto su un caso reale. Non andrò a raccontare di quanto è bella l’interfaccia grafica dell’uno e dell’altro e manco di quanto tempo impiega ad indicizzare questo o quello: vado a fare vedere con mano dove cercare quello che mi interessa per trovare la verità (o una delle verità).

Queste sono le cose di cui NON parlerò:

• Di cos’è un HASH, a che serve e della teoria delle collisioni.
• Della catena di custodia.
• Dei Write Blocker.
• Delle distribuzioni gratuite o a pagamento.
• Di come deve essere una postazione forense.
• Di come si usa “dd” e i suoi derivati.
• Di come si fa a nascondere un file così tanto bene che poi per recuperarlo impiego una settimana.

Mi limiterò ad esporre cosa deve SCRIVERE  un CT quando incontra “IL QUESITO”.

.

A fine anno avevo prospettato la totale chiusura con la CF “commerciale” lasciandomi aperta la porta del solo studio e sperimentazione a livello di hobby per far fronte alla scia di dibattimenti che nel prossimo futuro mi coinvolgeranno (spesso ci si dimentica che a distanza di qualche anno si finisce a discutere davanti ad un Giudice).

Ad inizio di ogni anno mi diletto a investire parte dei “guadagni” o in Hardware o in Software. A fine dicembre si era presentata l’occasione di acquistare ad un buon prezzo l’ICS IMAGEMASSTER SOLO IV. La tentazione è stata tanta ma ho desistito in favore di un inizio 2010 più sereno e con meno impegni.

Non è andata come speravo e alla fine mi sto trovando ad investire in un settore che nel passato non mi aveva convinto: le certificazioni.

“Ma servono? Sono necessarie a certi livelli?”

Beh, dal 2000 frequento il settore e non mi sono mai servite anche perchè fino a qualche tempo fa (tanto tempo fa) eravamo in pochi e non c’era tutta la “concorrenza” di oggi. Il passaparola ha sempre funzionato. Ora che però ho tempo, stimolato da due miei grandi amici Francesco S. e Luca B. mi sono messo a studiare. Inizialmente come “sfida personale” ma oggi, dopo aver preso la CHFI, anche come STEP per migliorare le conoscenze del settore.

La parte che più mi piace è vedere come la “legislazione americana” tratta la figura di “expert withness” (il consulente in udienza) e l’importanza del “search warrant”  (mandato di perquisizione).

Ma non basta, occorre anche saper usare gli strumenti di Forensics e dimostrare che si sanno usare. Ma questa è un’altra certificazione e forse vi ho annoiato troppo…

.

Testando FTK 3.0.4 sono incappato nel problema che segue: importare un Hash Md5 all’interno della Library di FTK.

Il problema è risaputo (inizio 2009)  fin dalla versione 2.X e il WORKAROUND funziona egregiamente.

Vediamo i passi da fare.

1) Create un File con estensione “.CSV” inserendo i vari Hash del tipo:

———————–INIZIO—————————

MD5

7938F1D1D333811510D6C8D8B530BEBD

8938F1D1D333811510D6C8D8B530B786

———————–FINE—————————

L’ultima riga deve rimanere vuota.

2) Importate il file da “KFF MANAGER”

3) Create un nuovo GRUPPO (oltre ai due di default: AD_Alert e AD_Ignore)

4) Assegnate al nuovo gruppo il NOME usato per importare il file “.CSV”

5) Rieseguite il KFF con l’opzione “Recheck previously processed items” se volete testare la presenza dei nuovi HASH.

Il workaround è ben indicato in alcuni post del FORUM.

Approfitto del post per suggerire ai “colleghi” che, alla prima difficoltà invece  di postare domande a destra e a manca cercate sempre le vostre risposte nei FORUM del PRODUTTORE.

.

Domattina sarò presente al terzo giorno del Convegno OLAF dove vi sarà una interessante sessione a cura dell’IISFA. Sono molto interessato agli interventi di Davide ed Andrea. Posterò alcuni commenti su TWITTER in diretta.

.

Testata su Windows 7 (64BIT)

http://support.accessdata.com/downloads … le_10g.msi

.

Al prossimo evento organizzato dall’ICAA in collaborazione con IISFA ci sarà una sorpresa.

.

E’ da alcune settimana che mi sono “messo in testa” di installare FTK 3.0.4 su un PC (HP) con Windows 7 (64BIT). L’installazione non è andata a buon fine subito. La prima fase di installazione “unattend” di Oracle va in errore con codice: “27557″. Se lanciate “a mano” l’installazione di ORACLE  questa va a buon fine (ma non ve ne fate nulla inquanto mancano tette le personalizzazioni…).

Morale: sembra che lo script per l’installazione “silente” abbia dei problemi.

Sul forum vi sono diversi POST che segnalano l’anomalia già da tempo e le soluzioni fornite da AD sono abbastanza “sul vago” (considerazione strettamente personale).

Con tutto rispetto la proposta:  “elimina tutte le voci di registro, i file, cartelle  e reinstalla” non mi sembra professionale (considerazione sempre  strettamente personale).

Comunque sia, stamattina sul forum si sono accorti che ancora le cose non vanno:

“It is my understanding that this only happens on 64 bit windows 7 and 2008 R2. We’ve alerted the developers that this error has also been seen in Italian.”

Bene… attendo fiducioso (la diretta la trasmetto via TWITTER).

————————————————————————————-

Update 05/01/2010:

“Our developers are working on a solution to this issue for both German and Italian.”

————————————————————————————-

Update 13/01/2010:

Assieme ad altri colleghi stiamo sempre aspettando che AD sistemi le cose. Al momento non si “muove nulla”.

————————————————————————————-

Update 15/01/2010:

Di propria iniziativa il supporto Tecnico di AD mi ha scritto mandandomi i LINK per scaricare una patch e verificare se il tutto funziona. Domattina la installo. Devo ammettere che apprezzo molto l’iniziativa. Vediamo se riusciamo a far parte del gruppo di BETA-TESTING.

.

Sfruttando il periodo “tranquillo” che finalmente sto passando ho avuto la bella idea di ascoltare il mio amico Francesco (Schifilliti) che mi ha suggerito via Cell.:

“…visto che sei in vacanza fatti la Certificazione CIFI… io la faccio la settimana prossima”.

Certificazione???  Non mi era mai venurta l’idea di provarci…

Grazie all’aiuto di Francesco e del mio caro amico Luca B. (Bizzotech) mi sono messo a studiare per la certificazione CIFI (Certified Information Forensics Investigator) rilasciata dall’IISFA. Parte delle domande  sono tratte dalla certificazione CHFI (Computer Hacking Forensic Investigator) che è molto orientata all’intrusion detection. E’ stato come ritornare a inizio del 2000 quando  muovevo i primi passi con “Ettercarp” e “Snort” cercando di fare il “Man in the Middle” con gli  switch della 3com (o volgari HUB??? ho ancora il dubbio….).

E’ stata una settimana utile perchè mi ha “stimolato” a dare un’occhiata a “spanne” di come la Legislazione Americana tratta i reati di CF e ho trovato la loro ECPA del 99  molto interessante.

La domanda che molti si fanno è:  “ma le certificazioni servono?”

Personalmente:  SI (per la cronaca, ho sempre evitato le certificazioni perchè con la scusa del poco tempo le ritenevo inutli…. col tempo si cambia…).

Servono ai neofiti ma soprattutto ai tecnici con una buona esperienza perchè consentono di mettersi alla prova in una di sfida con se stessi (… sono anni che faccio forensics…figurati se non passo…) e forniscono buoni spunti per migliorare la parte di forensics che non e’ strettamente tecnica.

In conclusione  grazie Francesco e grazie Luca: 124/125 in 18 min.

.