Del sequestro di AntonioMonteleone.it ne ha parlato più che a sufficienza il Punto informatico ma anche io ieri sera, come il buon Paolo che ne blogga ben prima di me, avevo dato un occhio al sorgente della pagina:

Per quelli che non conoscono la struttura dei metadati di Word posso spiegare direttamente che:

• Due righe di testo sono state fatte con una spatafiata di HTML schifosissimo generato con Word.
• La persona che ha editato il documento si chiama Danilo
• Usa il computer come Administrator, cosa di per sè alquanto impervia e non certo sana
• Usa Office 12, ovviamente sono sicuro che sia una copia legale…
• …soprattutto in visione del fatto che la Società  a cui è registrato è PIPPO…

Cheddire? Complimentoni!

UPDATE Sempre dal sito di Paolo scopro anche che l’immagine della Repubblica è… presa da altro sito sequestrato dai colleghi :) In particolare http://www.cosilinum.it/stellone.gif che rimane del sorgente…. LOL!

Technorati Tags: forensics, follie, danilo, AntonioMonteleone, Antoniomonteleone.it

photo credit: Andrew Mason

Sono lieto di invitarvi alla seguente manifestazione al quale come vedete partecipo come relatore:

Nel quadro delle attività di sostegno e informazione che la Giunta Regionale del Veneto ha promosso in favore dei distretti produttivi regionali, la Facoltà di Scienze MM.FF.NN. dell’Università di Verona organizza un ciclo di seminari col seguente calendario.

20 maggio: Informatica e legge: dagli obblighi all’informatica forense

• ore 14:00 - Gli aspetti legali della Computer Forensics Avv. Pierluigi Perri: dottore di ricerca in Informatica Giuridica e Diritto dell’Informatica presso l’Università di Milano
• ore 15:00 - La filigrana nel software per la difesa del copyright Prof. Roberto Giacobazzi: ordinario di Informatica presso l’Università di Verona
• ore 16:00 - VoIP Forensic Alessio L.R. Pennasilico, Security Evangelist @ Alba S.T. s.r.l.
• ore 17:00 - Computer Forensics: CSI Miami vs Realtà Matteo G.P. Flora, Consulente Security & Privacy, Forenser

27 maggio: Automazione industriale ed infrastrutture critiche

• ore 14:00 - Introduzione alle reti per il controllo di processo Davide Quaglia: ricercatore presso l’Università di Verona
• ore 15:00 - Il software libero nel mondo industriale Alessandro Rubini: sviluppatore software
• ore 16:00 - SCADA (in)security Alessio L.R. Pennasilico, Security Evangelist @ Alba S.T. s.r.l.
• ore 17:00 - Social Engineering: è necessario “difendersi” da chi ci chiede informazioni ? Elisa Bortolani: Assegnista di Ricerca in Organizzazione Aziendale presso l’Università di Verona

28 maggio: Il software Open Source e le licenze aperte

• ore 14:00 - L’opportunità del Software Libero Prof. Angelo Raffaele Meo: ordinario di Sistemi per l’Elaborazione delle Informazioni presso il Politecnico di Torino
• ore 15:00 - Linux, diritti e libertà Avv. Pierluigi Perri: dottore di ricerca in Informatica Giuridica e Diritto dell’informatica presso l’Università di Milano
• ore 16:00 - Creative Commons, protezioni e libertà per autori e artisti Thomas Margoni, ricercatore presso la Facoltà di Giurisprudenza dell’Università di Trento
• ore 17:00 - Software Open Source ed Etica hacker Alessio L.R. Pennasilico, Security Evangelist @ Alba S.T. s.r.l.

Con il patrocinio di:

• Associazione Informatici Professionisti (AIP) - http://www.aipnet.it/
• Associazione Italiana Professionisti Sicurezza Informatica (AIPSI) - http://www.aipsi.org/
• CLUSIT - http://www.clusit.it/
• Italian Linux Society (ILS) - http://www.linux.it/
• Linux User Group Verona (LUGVR) - http://www.verona.linux.it/

Luogo

Aula H della Facoltà di Scienze MM.FF.NN. dell’Università di Verona Strada le Grazie, 15, Verona

L’abstract completo degli interventi e le istruzioni sul come arrivare, oltre al modulo di iscrizione, è disponibile all’indirizzo:
http://www.scienze.univr.it/documenti/Seminario/documenti/documenti152469.html

Per ulteriori informazioni: Davide Quaglia, tel. +39 045 8027811, davide.quaglia@univr.it

Technorati Tags: forensic, computer forensic, conferenza

photo credit: tractorpirate

No, non è un errore di ortografia, ma proprio quello che penso.

Sto leggendo un “sedicente” manuale di Computer Forensics scritto da un “sedicente” esperto ed autoprodotto su un noto sito di stampe on demand.
Non faccio nomi, per ora, non ho ancora finito la review.

Ma posso iniziare a fare qualche stralcio di qualche paragrafo e fare capire cosa intendo per Compiuter Phorensics (d’ora in poi i corsivi sono miei per sottolineare alcuni concetti):

Scegliamo il nome del file immagine (es. image.img) e poi nelle opzioni di copia scegliamo l’SDD (che è una versione più veloce del famoso DD di Linux), infine scegliamo l’hash MD5 per firmare digitalmente la copia

Ora, a parte che usare SDD per scopi di Forensics è quantomeno particolare, visto che è più veloce solo ed esclusivamente nel caso in cui IBD e OBS non coincidano (lo dice anche chi lo ha fatto), anche e soprattutto in virtù del fatto che o si usa lo standard DD oppure il ben più famoso, comodo e soprattutto STANDARD per la Forensics DCLFDD.
E, in aggiunta a questo, usare MD5 (noto per collidere) è idiosincratico. E soprattutto dovrebbe essere tolta la facoltà di parola a chi sostiene che MD5 rappresenta una firma digitale, visto che il concetto stesso di firma digitale si basa sulla crittografia forte associata ad un Hash. Significa veramente non aver capito un piffero dell’argomento.

Poi arrivano le parti ilari, come ad esempio:

Se l’hard disk esterno è stato formattato in Ext3, nonostante i driver EXT2FSD per Windows, che permettono la scrittura su HD EXT3 e EXT2 da Windows, conviene zippare da Linux col gzip, poichè ho provato che la lettura e scrittura di grosse moli di dati genera errori di lettura dopo un pò di ore…

Innanzitutto PERCHE’ dovrei avere qualcosa in EXT3 in Windows. Gli strumenti di carving non si sposano poi un gran che bene con una lettura del filesystem fatta da driver terzi…
Eppoi la vogliamo commentare ’sta affermazione del GZIP? Io mi stavo rotolando per terra dalle risate, ma magari è solamente una mia opinione…

Dai riferimenti uscenti da Autopsy possiamo salvare i contenuti dei files in rapporti testuali (magari da allegare) e poi montare l’immagine magari con un software come Mount Image Pro e poi andare a copiare i files da esaminare con software più GUI

Perché, ho bisogno di Mount Image Pro ogni volta che devo estrapolare un file da Autopsy? E le comode impostazioni di esportazione che fine hanno fatto? E come posso esportare essendo sicuro di ciò che faccio? E per i file nascosti che faccio, monto Mount Image Pro e lancio un Undelete Pro?

In un esercizio di computer forensics è capitato di ritrovare l’evidenza in un file ascii senza estensione e solamente guardando il suo contenuto ho visto il suo header che, cercando su Google, ho scoperto essere una codifica base64

E da quando valutiamo i file dalla loro ESTENSIONE in Computer Forensics?

Anche per quanto riguarda la cifratura ce la caviamo bene:

A questo punto, effettuando un’analisi con un editor esadecimale, potremmo ottenere 80 “file conosciuti”. Infine potremmo dare in pasto, questi files rimasti, a vari tool di cifratura (AxCrypt, TrueCrypt, gnuPGP, PGP, ecc.)

Ah si? Bello!
E da quando TrueCrypt ha una header distintiva come tipo di File? E, soprattutto, li diamo in pasto e cosa ci facciamo? TrueCrypt non HA MODO senza la chiave corretta di dire che si tratta o meno di un filesystem cifrato. Tant’è che il programma da un errore del tipo “Password non corretta o questo non è un file di Treucrypt”….

COntinuo ad avere le mier riserve… ma forse forse fossi in un lettore lascerei perdere e comprerei il manuale edito da Apogeo di Andrea “Pila” Ghirardini…

Technorati Tags: forensic, recensione, porkensic, computer forensics, digital forensics