Litiano Piccin

Come sempre, tra la conclusione di una Consulenza e l’inizio di un’altra mi “diverto” (c’è poco da divertirsi, l’aggiornamento degli strumenti di lavoro è una cosa IMPORTANTE e non da sottovalutare) ad aggiornare i vari software/firmware e a testarli in “laboratorio” (è da evitare il TEST sulle evidenze). Stanotte è toccano al nuovo firmware del TABLEAU TD1 FORENSIC DUPLICATOR. Mi interessava verificare l’efficacia della compressione in formato EWF. Il risultato ottimale lo si ha usando un disco VUOTO.

EVIDENCE: TOSHIBA 2,5″ IDE da 80GB

FORMATO RAW
L’operazione di copia su un SEAGATE da 1,5TB SATA è durata circa 50 minuti. Dimensione TOTALE: 80GB.

FORMATO EWF
L’operazione di copia su un SEAGATE da 1,5TB SATA è durata circa 50 minuti. Dimensione TOTALE: 512MB.

Stesso tempo ma risultati differenti.

Altro TEST:
Verifica dell’immagine ottenuta con il TD1 con FTK IMAGER. Ho verificato che l’HASH per entrambe coincidesse.

FORMATO EWF
L’operazione è durata 12 Minuti.

Formato RAW
L’operazione è durata 40 Minuti.

Come emerge chiaramente, il formato EWF è molto comodo per “trasporto” e anche per la successiva verifica di integrità.

Non è finita: il tempo di elaborazione (carving, hash, keywords, …etc) è più veloce su un’immagine compressa?

Non lo so. Alle 3.30 mi sono messo a dormire.

.

Ho iniziato nel 2000 ad occuparmi di CF grazie all’aiuto del mio caro amico Antonio che mi ha fornito il materiale e i “casi” su cui iniziare a lavorare. Assieme a lui ho fatto molta strada e sono arrivato fino a qui. Ora ho deciso di concludere la mia esperienza diretta nella CF lasciando il mio posto ad altri. Rimangono ancora alcuni mesi per chiudere le ultime consulenze e poi mi  dedicherò solo a me stesso e alle persone che mi stanno accanto.

Ciao.

Litiano Piccin

.

Recentemente ho perso due “aiutanti”: SEAGATE 750 e WD 1TB.

Questi sono i modelli:

SEAGATE: ST375033AS

WD: WD10EAVS-32D7B1 (CAVIAR GREEN)

Mi servirebbe la componente elettronica per “rianimare” i due cari “estinti”. Se interessati, fatemi sapere: infoATlpcforensic.it

.

Ogni tanto qualche “news” colorita fa sempre bene (alle lunghe attese).

La Copia “DISK TO FILE” fatta con due Hard Disk SEAGATE (SATA) di 250GB (il sorgente) è durata meno di un’ora.

Sono rimasto incredulo e questo è un “pezzo” del file di LOG:

————————-Start of Tableau TD1 Log entry————————-

Task: Disk to File
Status: Ok
Created: 2009-06-XX 11:54
Closed : 2009-06-XX 12:52
User: LITIANO PICCIN

Duplicator serial num: 01d110XX
Duplicator log ID num: XX

———————-Disk-to-File Results———————-

# of sectors: 488,397,168 (250.0 GB)
Destination filename convention: Default
Chunk size in sectors: 3,906,250 (2.0 GB)
Chunks expected: 126
Chunks written: 126
Filename of first chunk:
Total errors: 0
Errors recorded: 0
SHA1: XX312afafdb5d8XX
MD5 : XX0c069e14026XX

Se qualcuno avesse il dubbio sulla integrità di cosa è stato “copiato” può stare tranquillo… tutto regolare: verificato a posteriori.

.

Vi siete mai chiesti cosa fa un consulente di DF quando ha concluso un “ciclo” di consulenze e sta per prepararsi al prossimo?

Oltre a “scorrazzare” fra chat e mailinglist passa le nottate ad “affilare le armi” ovvero ad aggiornare i prodotti. Stasera tocca all’Hardware.

TABLEAU

.

E’ uscito a Febbraio e visti i bugfix è meglio eseguire l’UPGRADE ASAP.

FU v6.21 introduces TD1 REV 2.01 firmware. The TD1 REV 2.01 firmware includes the following bug fixes for the TD1:

• The TD1 can now properly detect Seagate model ST9402115AS drives.
• A bug was fixed in which disk-to-file duplication would hang with very large destination drives which were nearly full.
• A bug was fixed in which disk-to-file duplication would hang due to a nonresponsive destination drive.
• A bug was fixed in which error counts were incorrectly reported under the TD1 “Duplication Details” screen.

.

Spesso mi capita di essere “tempestato” di richieste di “recupero file” da amici o parenti. E come sempre me la cavo con un bel “sono un po’ indaffarato“… oppure “chiedi a…che lui è bravo!!!“.

Stavolta non potevo dire di no (parenti). Mi hanno consegnato il paziente (un vecchio HD del 99) proveniente da un PC andato a “fuoco”. Naturalmente non dava segni di vita. Ho quindi sostituito la parte elettronica con una proveniente da un gemello. All’accensione (su un PC con Windows via BOX USB) un “tetro” ticchettio non dava speranze.

Mi  venuta l’idea di provarlo con il TABLEAU TD1 per vedere se almeno veniva “riconosciuto”.  Avevo qualche dubbio subito svanito quando mi sono accorto che il TD1 mi indicava il modello, seriale e LBA.

Bene, ho pensato, ora provo ad eseguire cuna copia bit a bit e vediamo fino a quando “copia”.

Fino all’83%.

Poi ho incontrato la zona “guasta” e (inutilmente) l’ho lasciato tentare la lettura per almeno 6 ore.  Fatto questo, ho collegato l’HD copia  ad una macchina Windows e usando un classico programma (X-WAYS) ho recuperato un sacco di documenti grazie al CARVING. Sono rimasto alquanto soddisfatto e mi rammarico per non aver tentato questa strada in passato. Sono sicuro che un “dd” con una LINUX qualsiasi avrebbe “sortito” lo stesso effetto.

.

Per chi ha da poco acquistato il dispositivo in oggetto consiglio di aggiornare il FIRMWARE prima di iniziare a fare i primi TEST. L’altra sera mi sono infatti accorto che il mio TD1 non mi permetteva di esportate i file di LOG (funzione fondamentale nella CF). Ho dato un’occhiata al manuale (cosa che si dovrebbe fare prima) e ho scoperto che mi mancavano due voci dal menu “LOG”. Ho fatto un salto sul sito del produttore e dopo essermi registrato gratuitamente ho scaricato un programma che in automatico si incarica di “trovare” il dispositivo, verificarne la versione ed eventulamente farne l’UPDATE.

Piccolo particolar tecnico: dovete collegare (con l’apposito cavetto in dotazione)  il dispositivo sulla porta FIREWIRE dello stesso e del vostro… PC. Si, se avete solo porte USB non si fa nulla. Dovete avere una porta FIREWIRE disponibile. Non barate: il programma “gira” solo per Windows e non per MAC.

Per l’aggiornamento bastano alcuni secondi. Richiede il “reboot” del dispositivo. E’ un programma utile per tutti i dispositivi della TABLEAU.

.

Finalmente ho iniziato il primo test con il TABLEAU TD1.  Il primo “volontario” è un bellissimo MAXTOR del ‘99 di 8 GIGA con un problema meccanico ad una testina (1 giga di dati circa non sono più disponibili). Il dispositivo ha raggiunto la zona “danneggiata” dopo aver completato la copia dell’82% dello stesso. Sono passate 24 ore e siamo all’83%. La modalità di copia è la “Disk-to-Disk”. E’ stata selezionata la modalità di “Error Recovery Modes” FAST. Ve la riporto  qui sotto.

.

Anche la TABLEAU si è “tuffata” nel mondo dei “duplicatori” dopo ICS e LOGICUBE. Il nuovo oggetto sembra interessante (soprattutto nel prezzo) anche se non ha un interfaccia SCSI (a differenza del SOLO III che l’ha integrata). Ora sto “trattando” con il fornitore italiano… vediamo cosa è incluso nel prezzo. Devo ammettere che il dispositivo con valigetta e accessori (cavi e ALIMENTAZIONE) è molto più comodo rispetto all’oggetto “nudo e crudo”.

Dalle specifiche supporta anche il BIT STREAMING su file e l’hashing MD5/sha1 (nel SOLO III l’hash SHA1 è una disperazione per la lentezza). Sarebbe interessante sapere se consente di salvare i LOG su SD/COMPACTF. o comunque in un dispositivo “removibile”.

Vediamo cosa riesco a fare.

.

Non sono ancora andato in ferie e quindi ne approfitto per continuare a “periziare”. Sto cercando abbastanza urgentemente la componente elettronica di un FUJSTU MPD3084AT da 8.4 GB.

Ne ho già trovato uno qui ma ho una gran fretta (che non fa mai bene).

Grazie mille.

.

La versione dell’IMAGEMASSTER SOLO III FORENSICS che uso ha qualche “annetto” e non ha il supporto SCSI. Ma da un po’ di tempo vi è la possibilità di fare l’UPGRADE andando ad “incorporare” il supporto per lo SCSI. Operazione che la stessa ICS fa ai propri clienti. Bene, alla nostra BOX è stato fatto l’UPGRADE. Al primo tentativo (questa notte) non riconosce per nulla i DISCHI (funzionanti… provati con il TABLEAU). Ora attendiamo la risposta del supporto. Mi sembra strano che venga fatto un UPGRADE “hardware” e non venga testato.

.

Fra un’analisi di un Cell. e l’altro (a breve uscirò con un trafiletto su “cosa” MOBILEDIT non individua nel suo report) ogni tanto arrivano dischi particolari da analizzare. In questa occasione: due ottimi dischi SCSI UTRA 320 a 15KRPM IBM di 146GB completi di controller (SCSI). Devo ammettere che in passato ho usato molto le distro LINUX per questo genere di “reperto” ma di recente, visto l’aria che spesso “tira” in Udienza ho deciso di acquistare un WB Hardware. Cosa comprare? Le scelte sono: ICS, TABLEAU o CINESE/GIAPPONESE/BastaCheCostiPoco. Qui ci si può perdere in lunghe discussioni dove ognuno porta avanti la sua idea. In base alla mia esperienza e dopo aver provato i tre prodotti (il terzo era un prodotto anonimo proveniente dalla Germania) ho convenuto nell’acquisto di un TABLEAU.

“Ma dove lo compro?”

Read the rest of this entry »

.

Giusto questa mattina ho iniziato un nuovo lavoro su un laptop TOSHIBA SATELLITE A110-178 che monta questo tipo di Hard Disk:

-

HITACHI TRAVELSTAR
MODEL: HTS541010G9SA00
SATA 5400RPM 22/08/2006
P/N:0A27410

-

Da BIOS, l’utente ha avuto la bella idea di settare la password di accesso all’HD. Questo è un problema.

Estraendo il disco e tentando una copia con l’ICS IMAGEMASSTER riesco solo a recuperare le informazioni sul modello e tipo di HD ma nulla sui settori o le partizioni. Tentando un “HASHing” ottengo un malinconico errore:

“unable to read LBA 0”

Se invece tentiamo una acquisizione LIVE, allora ci si ferma subito davanti alla schermata iniziale che appare dopo il POST: “Insert PASSWORD”… naturalmente vuole la password corretta e non una a caso.

Ho scambiato telefonicamente alcune idee con un collega (Luca Guerrieri) che ha già avuto esperienza su un caso del genere. E’ da capire se la password lavora a livello di CRIPTAZIONE o di BLOCCO o ENTRAMBI. Se fosse solo a livello di blocco si potrebbe sostituire la parte “elettronica” dell’HD. Il primo passo è comunque l’acquisto di un identico modello di Hard Disk per lo studio. Eventuali suggerimenti tecnici sono ben accetti.

Le caratteristiche dell’HD sono qui

30 minuti dopo aver scritto il post….

Approfondimenti qui (…se hanno iniziato dal 2007 forse non è criptato…)

10 minuti dopo…

E forse da qui si capisce che non è criptato… (il P/N on compare fra quelli).

.

Vicenda oramai conclusa. Da qualche giorno ho ricevuto l’Hard Disk “CLONE” direttamente dalla UltraTECK (http://www.ultratec.co.uk) e giusto questa notte ho eseguito la sostituzione della parte elettronica dell’Hard Disk. L’operazione, documentata anche nei minimi particolari (la cucina trasformata in una sala operatoria) è perfettamente riuscita e l’Hard Disk sta bene: i dati al suo interno sono integri. Ora si passa all’analisi.

.

Nella C. FORENSIC si parla tanto di regole e di precisione ma alla fine servono queste regole?

ASSOLUTAMENTE SI.

Eccone un breve esempio.

Sto analizzando un Hard Disk per una truffa compiuta nel MARZO del 200X. La prima cosa che si compie dopo aver ricevuto il materiale ed avere annotato tutto il possibile nella “Chain of Custody” è la sua catalogazione. Ovvero annotare qualsiasi cosa relativa all’oggetto da analizzare. Nel caso di un Hard Disk SATA, la data di fabbricazione tanto vecchia non può essere e se non è indicata vale la pena perdere del tempo e fare una ricerca sul periodo di fabbricazione. Ecco che si scopre che il fantomatico Hard Disk è stato prodotto nel periodo di AGOSTO 200X. Difficile che ci possa essere il file scaricato a MARZO con i relativi log di “download”.

Questo non significa che l’analisi è conclusa ma almeno ora ho un’idea di come impostare la ricerca di eventuali tracce.

.

Con 54 euro ho acquistato un bellissimo QUANTUM ST32A013 da 3,2 GB che mi verrà recapitato a casa fra qualche giorno. il tutto grazie al sito: http://www.ultratec.co.uk

Questo gioiello della tecnologia di fine anni 90 mi servirà per sostituire la parte “elettronica” di un HD SUSPECT sottoposto ad analisi. Qualcuno ora si chiederà: “Ma chi paga i 54 Euro?” o anche “Ma l’acquisto è stato autorizzato?”

Risposta: no, nessuna richiesta o altro… pago io.

Perché? Uno dei motivi è  che in questa attività, l’ultima cosa a cui si deve fare attenzione è l’uso di risorse: se serve qualcosa la si compra o al massimo… la si noleggia. Lo scopo e giungere ad un risultato il più attendibile e obiettivo possibile (previa la preservazione della prova). In ballo ci può essere la reputazione (o altro) di qualcuno (ed eventualmente la nostra). Se non si hanno le risorse, si rinuncia all’incarico. Più semplice di così?

.

La cosa più brutta che può capitare quando si deve analizzare un vecchio Hard Disk è scoprire che non funziona più la parte elettronica. Brutta perché si capisce al volo che la scappatoia “tanto non funziona” ha le “gambe corte”. Anche se magari dentro non vi è nulla di quanto viene chiesto, bisogna sempre tentare qualsiasi operazione per recuperare il contenuto. Quindi stasera mi ritrovo a dover cercare in giro per la rete un vecchio

QUANTUM FIREBALL

Modello: 3240AT ST32A013

Se qualcuno ne ha uno funzionante, mi contatti: info@lpcforensic.it

Grazie.

.