photo credit: tractorpirate
No, non è un errore di ortografia, ma proprio quello che penso.
Sto leggendo un “sedicente” manuale di Computer Forensics scritto da un “sedicente” esperto ed autoprodotto su un noto sito di stampe on demand.
Non faccio nomi, per ora, non ho ancora finito la review.
Ma posso iniziare a fare qualche stralcio di qualche paragrafo e fare capire cosa intendo per Compiuter Phorensics (d’ora in poi i corsivi sono miei per sottolineare alcuni concetti):
Scegliamo il nome del file immagine (es. image.img) e poi nelle opzioni di copia scegliamo l’SDD (che è una versione più veloce del famoso DD di Linux), infine scegliamo l’hash MD5 per firmare digitalmente la copia
Ora, a parte che usare SDD per scopi di Forensics è quantomeno particolare, visto che è più veloce solo ed esclusivamente nel caso in cui IBD e OBS non coincidano (lo dice anche chi lo ha fatto), anche e soprattutto in virtù del fatto che o si usa lo standard DD oppure il ben più famoso, comodo e soprattutto STANDARD per la Forensics DCLFDD.
E, in aggiunta a questo, usare MD5 (noto per collidere) è idiosincratico. E soprattutto dovrebbe essere tolta la facoltà di parola a chi sostiene che MD5 rappresenta una firma digitale, visto che il concetto stesso di firma digitale si basa sulla crittografia forte associata ad un Hash. Significa veramente non aver capito un piffero dell’argomento.
Poi arrivano le parti ilari, come ad esempio:
Se l’hard disk esterno è stato formattato in Ext3, nonostante i driver EXT2FSD per Windows, che permettono la scrittura su HD EXT3 e EXT2 da Windows, conviene zippare da Linux col gzip, poichè ho provato che la lettura e scrittura di grosse moli di dati genera errori di lettura dopo un pò di ore…
Innanzitutto PERCHE’ dovrei avere qualcosa in EXT3 in Windows. Gli strumenti di carving non si sposano poi un gran che bene con una lettura del filesystem fatta da driver terzi…
Eppoi la vogliamo commentare ’sta affermazione del GZIP? Io mi stavo rotolando per terra dalle risate, ma magari è solamente una mia opinione…
Dai riferimenti uscenti da Autopsy possiamo salvare i contenuti dei files in rapporti testuali (magari da allegare) e poi montare l’immagine magari con un software come Mount Image Pro e poi andare a copiare i files da esaminare con software più GUI
Perché, ho bisogno di Mount Image Pro ogni volta che devo estrapolare un file da Autopsy? E le comode impostazioni di esportazione che fine hanno fatto? E come posso esportare essendo sicuro di ciò che faccio? E per i file nascosti che faccio, monto Mount Image Pro e lancio un Undelete Pro?
In un esercizio di computer forensics è capitato di ritrovare l’evidenza in un file ascii senza estensione e solamente guardando il suo contenuto ho visto il suo header che, cercando su Google, ho scoperto essere una codifica base64
E da quando valutiamo i file dalla loro ESTENSIONE in Computer Forensics?
Anche per quanto riguarda la cifratura ce la caviamo bene:
A questo punto, effettuando un’analisi con un editor esadecimale, potremmo ottenere 80 “file conosciuti”. Infine potremmo dare in pasto, questi files rimasti, a vari tool di cifratura (AxCrypt, TrueCrypt, gnuPGP, PGP, ecc.)
Ah si? Bello!
E da quando TrueCrypt ha una header distintiva come tipo di File? E, soprattutto, li diamo in pasto e cosa ci facciamo? TrueCrypt non HA MODO senza la chiave corretta di dire che si tratta o meno di un filesystem cifrato. Tant’è che il programma da un errore del tipo “Password non corretta o questo non è un file di Treucrypt”….
COntinuo ad avere le mier riserve… ma forse forse fossi in un lettore lascerei perdere e comprerei il manuale edito da Apogeo di Andrea “Pila” Ghirardini…
Technorati Tags: forensic, recensione, porkensic, computer forensics, digital forensics
Post Simili
»La ballata del programmatore…
»Il pericolo del file-sharing la fuga di informazioni riservate
»Terminato il corso…
»Sicurezza e Privacy Dalla Carta Al Bit
»Sicurezza e Privacy: dalla carta ai bit
»NEM: New Era Meditation
»CDN, ottimizzazione e cache remota di immagini per Wordpress
»Italian Cybespace Law Conference
Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete 
08 May 08
10:23 am
Un rapido colpo di Google ad appare questo:
http://www.nannibassetti.com/dblog/storico.asp?m=20060401
Ma dai, Matteo! Sei caduto così in basse da leggere Nanni Bassetti? E’ conosciuto dappertutto e non ti dico come….
Imparare la Forensics dal suo libro è come dire di voler imparare a fare controspionaggio dalle pagine di Topolino Investigatore!
Spreca il tuo tempo in modo migliore!
Del libro di Pila, invece, non ho apprezzato la totale mancanza a referenze a software commerciali. Va bene, sarà anche di parte, ma per lo meno accennarne!
A quando il tuo prossimo corso?
08 May 08
11:47 am
cito le parole di altri:
“Mah..
Ogni spesso diffido delle diatribe scatenate in questo modo…
Sembra sempre una sorta di strana invidia malcelata…
Poi, oh, ad ognuno le proprie opinioni!”
08 May 08
12:36 pm
Non è vero! Ho citato molti software commerciali. Semplicemente non credo assolutamente negli “IDE per la forensics” come Encase.
UTK/FTK dalla versione 2 poi, con il suo folle requisito di avere Oracle sotto il sedere, mi ha decisamente deluso.
Mi riservo, nella prossima edizione di parlare di Xways Forensics. Lo uso da un po’ devo dire che è un valido prodotto.
Ad ogni modo un piccolo aneddoto:
-All’inizio volevo dedicare un capito ad encase, giusto per par condicio. Dato che non lo uso, ho mandato una mail alla guidance software spiegando che stavo scrivendo un libro e che volevo sapere se mi potevano dare una licenza demo (anche solo 30 gg) per poter fare una review del software e metterlo nel libro.
La risposta loro (dopo 10gg) fu : “Si guardi le brochure, ha materiale a sufficienza”. -
Secondo voi potevo dedicargli anche solo una riga?
Pila
08 May 08
12:39 pm
fortuna….io stavo iniziando a leggere il libro da te consigliato…….mi sto interessando alla materia ma per puro interesse/curiosità personale. Grzie per tuttii consigli che ci dai dal tuo blog
08 May 08
12:46 pm
il libero arbitrio e la capacità di giudicare con la propria testa sono diventati un optional nella nostra società…troppa tv, sempre detto
08 May 08
12:52 pm
Wow che esperto, come tutelarsi da simili “luminari”?
P.S.
Ma forse stai leggendo la versione 0.0.1.d del manuale?
08 May 08
1:17 pm
Certo che se estrapolano i pezzi fuori contesto e fuori locazione temporale è facile fare la critica…io l’ho trovato utile e comprensibile.
08 May 08
2:46 pm
Il libro di Pila è ben fatto. Secondo me ha anche ampie future prospettive di miglioramento/aggiornamento comprendendo, per esempio, una parte sui write blocker.
Per tutto il resto, sorrido :-)
08 May 08
3:47 pm
Stefano… ampi margini ampi….
Daltronde non pensavo certo che riuscisse perfetto al primo colpo.
Pila
08 May 08
3:50 pm
Ciao Matteo,
in diversi abbiamo letto mesi fa (è da tempo che è fuori) quel “manuale” che altro non volevo essere che un “sunto” di due pubblicazioni autorevoli uscite poco prima. Lo abbiamo commentato pure noi ma ce lo siamo tenuto per noi.
Sii Buono e non pubblicare la seconda parte.
Lascia stare.
08 May 08
5:33 pm
Trovo poco serio questo modo di commentare i lavori altrui. Sbeffeggiare l’autore del manuale come se si fosse a parlare al pub con gli amici.
Inoltre le osservazioni che fai riguardano aspetti così marginali che non meritano assolutamente di essere ridicolizzati in questo modo.
Certamente Nanni non pretendeva di scrivere il sommo trattato sulla Forensics, ma intendeva soltanto passare le sue esperienze a chi fosse intreressato, Non ha scritto di copiare l’hard-disk suspect con la fotocopiatrice o altre stronzate meritevoli di nota… sicuramente non un guru, ma può certamente permettersi di scrivere su AIR, Autopsy, Foremost e altre cosette e credo che a chi non ne ha mai sentito parlare questo manuale gli sarà stato di aiuto. Il prezzo di questo “libro” è di 2.50 euro, nulla di pretenzioso, io l’ho comprato online e l’ho trovato simpatico… anche io ho trovato qualcosa su cui discutere ed ho telefonato all’autore… l’ho conosciuto così Nanni. Poi sono andato in libreria e ho comprato il libro bellissimo di Pila, ma non mi sognerei mai di paragonarli, come invece fai tu… ma cosa c’entra?
Secondo me, con questo post nel tuo blog vuoi solo toglierti la soddisfazione di sbeffeggiare qualcuno, ma non passi niente agli altri… non fai informazione utile… passi solo barzellette.
ciao
R
08 May 08
8:04 pm
Concordo con quanto detto da chi mi ha preceduto: è un’abbreviazione appositamente creata, non so se voluto o meno, per Dummies.
@Andrea Ghirardini: cosa intendi quando dici che non credi nell’ IDE per la forensics
Effettivamente lo svarione sull’md5 è grave ma i lapsus capitano a tutti. Alcune parti me le ricordavo valide.
08 May 08
10:17 pm
@Raffaele
Non mi sarei mai immaginato di dirlo, ma ora che mi ci fai pensare, visto così ha tutt’altro fascino…
09 May 08
2:14 am
OT
A proposito di investigazioni… qualcuno mi può per favore spiegare perchè tra gli informatici c’e’ un errore ricorrente nella scrittura (terza riga: “esperto eD autoprodotto”); io sono 2 anni che ci combatto e ancora non riesco a correggermi: aggiungere la D a “e” (che diventa “ed”) e “a” (che diventa “ad”) quando non ci va’… forse se riesco a capire la fonte dell’errore, riesco finalmente a evitarlo. Non so se e’ proprio un errore o “solo un warning”, tuttavia in effetti la lettura non scorre bene quando uno scrive “ad” ma la parola successiva non inizia con “a” (una volta la mia ragazza giurista ha provato a spiegarmelo in punta di grammatica, ma dopo la 3a parola pensavo già ad altro e non ho avuto il coraggio di dirglielo; a me interessava capire cosa rinnova costantemente questa “abitudine” nella mia testa, non la regola grammaticale… dannati giuristi… tutta forma e niente arrosto).
09 May 08
8:26 am
Ottima scuola di giornalismo moderno!
Grazie Flora!!!
09 May 08
9:32 am
@David
Perché, nella mia esperienza, ogni caso è diverso dall’altro e non puoi pensare di poterli risolvere tutti con un unico pacchetto/GUI.
Encase va bene, IMHO, solo per un numero limitato di casistiche, anche se sono le più diffuse.
Ergo imparare forensics con uno di questi cosi significa che nel momento che esco dall’ambiente protetto mi sento perso. Encase è un tool, come tanti altri. Però in 5 anni noi non abbiamo mai trovato un motivo solido per usarlo.
Pila
09 May 08
10:15 am
” passi solo barzellette.
Non mi sarei mai immaginato di dirlo, ma ora che mi ci fai pensare, visto così ha tutt’altro fascino…
”
Matteo i miei complimenti!
riesci ad insegnarmi un sacco di cose divertendomi pure! GRAZIE!
:)
09 May 08
6:44 pm
Scusate se mi intrometto. Leggo spesso i post del Dottor Ghirardini e del Dott Flora, ma mi sento di concordare su alcune osservazioni. 1) su encase probabilmente Lei, Dr. ghirardini, non è stato ritenuto sufficientemente autorevole da Encase per fornirle un software. Ho letto il Suo curriculum e visto che ha gestito un totale di circa mille perizie in tanti anni, dovrebbe avere i fondi per comprare una licenza di encase. Ma sono cose sue, ovviamente. Su FTK/Oracle, io ho letto la documentazione e mi meraviglio come lei non abbia compreso il motivo per cui FTK gira adesso su Oracle. Forse le servirebbe lavorarci su ed essere più informato. Sono scelte architetturali ben precise. Anche alcuni progetti opensource si stanno muovendo in quel modo. Per quanto riguarda Lei, Dr Flora, perchè critica cosi’ tanto le persone e non ci offre qualcosa dei suoi scritti in modo tale che tutti noi possiamo fruirne e darle il credito che merita? Io La seguo con estremo interesse, ma fino ad ora ho visto solo che il suo sito è stato “bucato” più volte ( e lei è un esperto di sicurezza), ho assistito a molti dei suoi interventi, ma non mi sembra di aver sentito nulla di cosi’ esoterico, o quantomeno adatto a metterla in condizioni di insultare i lavori degli altri (anche se oggettivamente opinabili).
Sono un po’ perplesso, davvero.
09 May 08
6:55 pm
@Giuliano Rosa
E se lo dice GIULIANO ROSA in persona chi siamo noi per contraddire?
MA LOL!
09 May 08
8:06 pm
Infatti il motivo di FTK/Oracle proprio non esiste….!!! Anzi… esiste….ora dovrò comprarmi una macchina ancora più performante per ottenere prestazioni ragionevoli; avranno fatto accordi con i produttori di ram e cpu? :-)
Per tutto il resto il “lol” ci sta tutto :-)
10 May 08
7:59 am
Salve tutti, sperando che nn mi censurino, voglio specificare una volta per tutte, che nel mio libro ci sono due
raccontini, mezzi romanzati, di due perizie….chiaramente so benissimo
cos’è una funzione di hash e lo spiego anche nel libro…però in uno di
questi raccontini, vi è la frase incriminata ”
“l’hash MD5 per firmare digitalmente”
è normale che non intendevo dire che MD5 è una firma digitale nel senso di
“firma digitale”, ma intendevo dire “didatticamente”, che è come se si
autenticasse un file digitalmente (che significa numericamente)….poi nel
resto del libro c’è la definizione di funzione di hash, c’è anche scritto
che è meglio usare due algoritmi di hash o sha256 per essere collision
proof…quindi…ogni dubbio dovrebbe esser stato fugato.
Matteo mi ha fatto notare che però ci sono persone che potrebbero non
intendere tutto questo…forse ha ragione…chi lo sa…però è uno spunto di
riflessione, magari ad essere più attenti a ciò che si scrive…lo accetto e
rispetto …certo magari me lo diceva come segnalazione e facevamo prima
heheheheheheh vabbè…ormai è andata così.
In ogni caso son daccordo con Alessandro Fiorenzi, una professione non si fa
solo coi libri o quantomeno solo da UNO o DUE libri….bisogna studiare,
confrontarsi, chiedere pareri ed aver spirito critico ed autocritico…
Poi se qualche avventuriero si mette a far perizie solo per aver letto un
vademecum (che è cmq indirizzato a chi mastica già questa disciplina),
questo stesso avventuriero avrebbe accettato la perizia anche senza leggere
niente e lanciandosi col copia ed incolla…insomma se uno è così è così…
;) IMHO
Quindi ringrazio Matteo per lo spunto di riflessione…e speriamo di aver
ben saldo il principio che per fare le perizie bisogna andare coi piedi di
piombo e con molto studio alle spalle…giusto?
PS: il raccontino in questione si riferiva alla prima perizia…ai tempi di SDD, che chiaramente non uso più…ma sul libro c’è scritto tutto ;)
10 May 08
6:05 pm
attendo trepidante la parte II…
8-)
11 May 08
1:32 pm
Qui c’è gente che posta e scrive senza cognizione di causa…
11 May 08
1:33 pm
o gente che ha scritto più libri di quelli che ne ha letti…
12 May 08
1:11 pm
@Nanni
Non sono d’accordo su quel prodotto visto che non è gratuito ma a PAGAMENTO e quindi si spera che PRIMA che venga rilasciato abbia avuto ALMENO UNA revisione in stile e contenuti.
13 May 08
8:49 am
@Luca
a parte che leggo libri dall’età di 8 anni come una macchina da guerra…e vabbè…questo per dire atteniamoci ai fatti e non andiamo sul personale ok?
La revisione la fanno gli utenti …e finora a parte questo caso, ho avuto feddbacks positivi, perchè chiunque abbia letto il libro ha capito il senso di quella frase, dato che di hash se ne parla diffusamente e bene…per il resto, ho pure scritto in alcune parti procedurali, che erano di massima e che cambiano da caso a caso….poi ci sono consigli e piccole pillole di comandi per la computer forensics, come il fatto che per virtualizzare un’immagine DD va prima convertita in VDI (VirtualBox) o VMDK (VmWare) o sul carving, su come montare le partizioni di un CD multisessione, ecc. ecc.
La procedura di acquisizione via Live CD, cosa documentatissima su tanti testi…ecc. ecc.
Inoltre il manuale, (è chiaramente scritto dappertutto), è rivolto già a chi è nel settore, da usare come manabile, vademecum, ecc. ecc.
E chi l’ho ha comprato con questo scopo, ti assicuro si è trovato benissimo…ci sono pure i feedback sul sito di Lulu.com….
Poi che Matteo, dica che qualche pivello, si affidi completamente al mio testo per fare le perizie, magari anche interpretando malamente alcune mie cose….ok l’ho capito e confermo quello che ho scritot sul mio precedente post.
Vabbè io la chiudo qui…poi pensate quel che volete…come dicono nei film “siamo in democrazia” ;-))))
ciao
13 May 08
8:53 am
scusate i typo :)