giovedì 20 dicembre 2007

Nuovi Security Training per il 2008

Di seguito alcune date sui prossimi cicli di Training per la Sicurezza tenuti dai docenti di IRItaly Project e organizzati da DFlabs:

Crema

14/01/2008 Introduzione a Linux Crema (in italiano)
15/01/2008 - 15/01/2008 Iritaly Base (in italiano)
17/01/2008 - 18/01/2008 Iritaly Avanzato (in italiano)
22/01/2008 - 23/01/2008 Computer Forensic Foundamentals (in italiano)
24/01/2008 - 25/01/2008 Incident management (in italiano)

Computer Forensc Foundamentals

22/01/2008 - 23/01/2008 Milano (In italiano)
21/04/2008 - 22/04/2008 Roma (In italiano)
14/07/2008 - 15/07/2008 Milano (In italiano)
24/11/2008 - 25/11/2008 Milano (In italiano)

Incident management

24/01/2008 - 25/01/2008 Milano (In italiano)
23/04/2008 - 24/04/2008 Roma (In italiano)
16/07/2008 - 17/07/2008 Milano (In italiano)
26/11/2008 - 27/11/2008 Milano (In italiano)

Iritaly

25/03/2008 - 26/03/2008 Milano (In italiano)
03/06/2008 - 04/06/2008 Roma (In italiano)
15/09/2008 - 16/09/2008 Milano (In italiano)
09/12/2008 - 10/12/2008 Milano (In italiano)

Iritaly Advanced

27/03/2008 - 28/03/2008 Milano (In italiano)
05/06/2008 - 06/06/2008 Roma (In italiano)
17/09/2008 - 18/09/2008 Milano (In italiano)
11/12/2008 - 12/12/2008 Milano (In italiano)

Feedback su DIM-AM

Il team di IRItaly ringrazia i numerosissimi lettori del blog ed utenti del progetto per aver manifestato il loro interesse per la partecipazione al beta test di PTK ed il nuovo modulo DIM-AM. In particolare, ci sono stati segnalati alcuni presunti issues relativi allo strumento DIM AM che abbiamo proceduto a verificare, per i quali pubblichiamo i nostri feedback ufficiali. Invitiamo chiunque fosse interessato a scriverci. Sarà un piacere per noi rispondere ai feedback.

Problema segnalato:

"Nei test da me svolti abilitare questa opzione su dispositivi flash ha causato problemi al programma che, pur non bloccandosi, non proseguiva nelle operazioni, nè generava alcun messaggio di errore."

Risposta:

Per quanto riguarda l'opzione di forzare la lettura sui settori danneggiati, essa non funziona sulle memorie flash in quanto lo strumento di base (DCFLDD) non funziona su questi supporti. La scelta di sviluppo di DIM-AM è stata quella di aggirare questo problema di DCFLDD. Le memorie flash infatti non sono uguali a un disco rigido nell'architettura dell'hardware e di conseguenza occorre una gestione differente demandabile unicamente all'utente. Il programma DIM-AM spiega all'utente come comportarsi, con un warning prima di procedere (Vds figura sotto)




Problema segnalato:

"utilizzando il tool sotto MS Windows 2000, non viene visualizzata la chiave usb, benché venisse correttamente riconosciuta dal sistema;"

Feedback:

DIM-AM, come specificato nella documentazione tecnica descrittiva e di test pubblicata sui vari siti DFLabs e IRItaly a inizio novembre, non supporta Windows 2000. E'stato sviluppato e testato - con riferimento al protocollo CFTT - per Windows XP e Windows Vista, in quanto Win2000 non è più supportato dal produttore e il trend della digital forensics è quello di abbandonare definitivamente questa piattaforma per l'effettuazione delle analisi. I test sono stati già pubblicati sul sito di DFLabs e IRitaly a novembre 2007 e sono comunque reperibili qui.


Problema segnlatato.

"Nell’immagine relativa al riconoscimento dei device si può notare come alla destra compaia indicata l’assenza di tali dispositivi tra la workstation ed il device, se il tool riconosce la presenza, o meno, di tali dispositivi, è un peccato non la riporti all’interno dei log."

Feedback:

Invitiamo il cortese utente a verificare quanto da lui affermato. DIM-AM, come testimoniato dal documento di test, logga la presenza dei dispositivi: Wiebetech Tableau e ICS. Il loggare la presenza (e non il contrario) fa parte delle normali practices di programmazione, finalizzate all'esclusione dei falsi negativi/positivi.


Problema segnalato

" l’individuazione di Cryptocat (facente parte del pacchetto) come virus da parte di ZoneAlarm."

Feedback:

Per quanto riguarda CryptCat viene riconosciuto come hacker tool non come virus, in quanto come è noto da tempo cryptcat è uno swiss knife che permette di fare un po' di tutto sui protocolli TCP/IP e viene spesso usato e installato insieme a dei rootkit ma NON è un virus.
Ad ogni modo abbiamo messo un avviso sul sito a riguardo.

Grazie ancora a coloro che hanno spedito le loro segnalazioni e i loro commenti. Buon lavoro a tutti.

lunedì 17 dicembre 2007

DIM - AM Free tool available

DFLabs has just released a free available version of DIM-AM, the acquisition module of Digital Investigation Manager. The module, which is part of the whole DIM Package, can be used for imaging media, using DD and several enhanced features. You may dowload the tool from http://www.iritaly-livecd.org/dim-am.htm

The PTK Tool Beta Testing Program

The team at IRItaly Project, is going to finalize a research project related to the Sleuthkit. Basically speaking, IRItaly developed a new interface for the sleuthkit, with the goal of speeding the operations and achieving better performance and easyness of use. For this reason the team is looking for collegues interested in alpha and beta testing program, which will start Q1 2008. The PTK (this is the name of the tool) is going to be presented at DOD Cybercrime 2008, and then the opensource will be released (Q2 2008). It will be the first of 3 sleuthkit related projects that we will complete within 2008.
If you are interested please drop a line to info at dflabs dot com.

martedì 11 dicembre 2007

1st CALL FOR PAPERS. - CISIS'08

IRITaly Project è nel Program Commitee della Conferenza CISIS.

International Workshop on Computational Intelligence in Security for Information Systems (CISIS'08)

http://www.cisis2008.org

Genova(Italy) Jolly Hotel Marina, Porto Antico

October 23-24th, 2008

Organized by:

SEA Lab (http://www.sealab.dibe.unige.it/),University of Genoa, Italy

GICAP (http://www.ubu.es/investig/grupos/ing_const/lsi-1/index_eng.html),
University of Burgos, Spain

martedì 27 novembre 2007

DFLabs Annuncia IncidentManager, la nuova applicazione per la gestione degli incidenti informatici all'interno delle realtà aziendali.

DFLabs Data Security, la divisione tecnica di DFlabs specializzata in Servizi Professionali e sviluppo soluzioni per la sicurezza, ha appena annunciato il rilascio di DFLabs Incident Manager, la soluzione integrata per la gestione completa degli incidenti di sicurezza IT e Corporate. Si tratta di una soluzione web based che offre la possibilità di gestire l'intero workflow dell'incidente di sicurezza, dall'apertura alla chiusura, con oltre settanta tipologie di informazioni differenti, utili sia agli operatori di prevenzione, agli auditor, al fraud management, e i rispettivi supervisori. DFLabs Incident Manager, consente di generare report di incidente, continuamente aggiornabili in real time, e compatibili con i più rigorosi standard internazionali, e rende possibile anche un'attenta analisi economica dei danni apportati dall'incidente e degli assets aziendali coinvolti. "In questo momento storico l'esigenza di gestire i dati sugli incidenti di sicurezza è un'esigenza primaria nel mondo enterprise" ha dichiarato Dario Forte, Ceo e Founder di DFlabs." DFlabs incident manager è frutto della nostra esperienza diretta a livello worldwide nel settore degli incidenti informatici. La soluzione consente il tracking totale degli incidenti di sicurezza, fornendo strumenti infungibili di valutazione sia agli operatori sia al management." Incident Manager ha numerose features innovative, tra cui: Creazione di vari report contenente tutte le informazioni relative all'incidente, inclusi i costi e il danno sostenuto, nonchè la timeline automatica degli eventi. con Incident Manager, inoltre, è possibile una ricerca avanzata tra casi e incidenti, con la possibilità di scegliere fra numerosi parametri. La Dahsboard del prodotto, inoltre contiene il riepilogo continuo delle principali informazioni legate agli incidenti più critici, con alta possibiltà di customizzazione. Tutte le operazioni sono protette da crittografia e role based authentication, rendendo lo strumento protetto da eventuali tentativi di intrusione. Con DFLabs Incident Manager il mondo Enterprise avrà a disposizione una piattaforma integrata e distribuita, per la gestione del workflow e delle informazioni in caso di incidente di sicurezza, fino al crisis management. Lo strumento è stato interamente sviluppato in house, ed è frutto dell'esperienza pluriennale dell'azienda nel settore della gestione incidenti critici, ed è immediatamente disponibile. Per ulteriori informazioni è possibile contattare info@dflabs.com

lunedì 12 novembre 2007

Terminato il processo di Testing di DIM - AM

DIM-AM è il nuovo modulo di acquisizione contenuto in Digital Investigation Manager. Il team di DFLabs ha appena concluso il processo di testing dello strumento secondo gli standard di verifica del Computer Forensic Tool Testing Program organo del NIST. I risultati sono liberamente disponibili in formato pdf.

giovedì 8 novembre 2007

IODEF diventa RFC

IODEF, lo standard dell’INCH working group diventa RFC. Dopo circa tre anni di lavoro, il gruppo INCH della Internet Engineering Task Force è giunto all’approvazione da parte della IETF dello standard IODEF. DFlabs e il progetto IRItaly hanno attivamente partecipato ai lavori, con le proprie implementazioni di DIM (Digital Investigation Manager) e del nuovo prodotto DFLabs Incident Manager, insieme con il CERT CC e il MIT Lincoln Lab. Di seguito l’estratto del comunicato stampa.

[October 11, 2007] “The Incident Object Description Exchange Format.” Edited by Roman Danyliw (CERT Program), Jan Meijer (SURFnet bv), and Yuri Demchenko (University of Amsterdam). IETF Internet Draft. Produced by members of the IETF Extended Incident Handling Working Group. See the extracted XML Schema, and I-D Tracker. Status: Approved by the IESG as a Proposed Standard. July 31, 2007. 96 pages. The IESG has announced the approval of “The Incident Object Description Exchange Format” specification as an IETF Proposed Standard. This document has been produced by members of the IETF Extended Incident Handling Working Group. There was consensus in the WG to publish this document, though Working Group has now closed. There are seven implementations of the IODEF that provided useful feedback on the completeness and quality of the specification. These implementations come from CERT-Verbund (SIRIOS), Cooper-Cain Inc.* (Anti-Phishing WG), Cyber Solutions Inc.*, DFLabs*, eCSIRT.net, MIT Lincoln Labs*, and NTT*.

venerdì 21 settembre 2007

IRItaly presente alla DoD Conference 2008 di S.Louis

Con uno speech dal titolo PTK, an alternative sleuthkit interface, Dario Forte presenterà una delle realizzazioni del Progetto IRItaly, che sarà rilasciata in occasione della DoD CyberCrime Conference 2008. Organizzata dal Dipartimento della Difesa degli Stati Uniti , la DoD cybercrime vede Dario Forte e il progetto IRItaly partecipare come relatori per la terza volta in quattro anni. Lo speech tratterà la nuova interfaccia che è stata disegnata per SleuthKit, che sarà tra laltro aggiunta alla prossima release del cdrom di IRItaly Project.

martedì 18 settembre 2007

FTK 2.0 In Anteprima Nazionale a Milano

Nell’ambito del DFLabs Forensic Day, che si terrà a Milano i giorni 25 e 26 settembre, sarà presentata, in anteprima nazionale, la nuova versione di Accessdata FTK 2.0, la nuova generazione di strumenti di Digital Forensics, basata su Db Oracle ed engines evoluti. Il Team di DFlabs effettuerà una demo articolata, unitamente alla presentazione di nuove tecnologie per il CodeBreaking (Riservato alle Forze dell’Ordine) e alla presentazione della nuova workstation mobile ICS Roadmasster III. In quella sede, inoltre, saranno presentati i nuovi training certificati AccessData in Italiano.

giovedì 13 settembre 2007

Corsi Accessdata In Italiano

Si segnala che DFLabs Italy organizzerà, con inizio l’ultimo quarter 2007, una serie di corsi per la computer forensics e l’incident response. Per la prima volta in Italia, il personale specializzato dell’azienda terrà i corsi in italiano. Degno di nota anche il nuovo training su Windows Vista Forensics. Di seguito alcune date:

Ottobre

9-10-11 AccessData Bootcamp (A Crema)
16-17-18 AccessData Windows forensic - Corso avanzato(A Crema)

Sono possibili convenzioni con Forze dell’ordine e Studenti. Inoltre DFLabs ha in atto convenzioni con gli hotels e i ristoranti alla sede di Crema (CR).

Per qualsiasi info: 0373 630145

lunedì 27 agosto 2007

Forensic Day a Milano

DFLabs italy organizza per i giorni 25 e 26 settembre 2007 a Milano, un incontro full time gratuito per aggiornare gli operatori della Digital Forensics sulle novità tecnologiche. Saranno presentati i nuovi prodotti Accessdata, Guidance, ICS, Tableau e tantissimi altri. Per ulteriori info consigliamo di contattare: info at dflabs dot com.

I posti sono limitati.

lunedì 13 agosto 2007

Anticipazioni dal DFRWS

Il Digital Forensic Research Workshop è una delle conferenze più accreditate del settore. Si svolge annualmente negli Stati Uniti ed è nata concettualmente nel 2002, anno in cui il Governo Americano ha intrapreso un’opera di supporto finanziario mediante il laboratorio dell’aviazione militare. A partire da quel tempo, in cui si prestava la massima attenzione a problematiche di rintraccio delle connessioni di rete e preservation (la fase in cui i dati acquisiti dovrebbero essere mantenuti integri) , in questo momento si guarda a tematiche sicuramente derivate dagli argomenti appena citati, ma sicuramente rappresentative di una evoluzione dello stato dell’arte destinato più alla pratica che alla teoria. Dario Forte è nel Program Tech Comm. Il programma della confrerenza ha un orientamento diretto ai seguenti settori investigativi:

  • la gestione dei cosiddetti “volatile data” dati che, per la loro conformazione e le loro caratteristiche, non sono riproducibili, non lasciano tracce durevoli e che, quindi, devono essere acquisite con la massima prontezza ed efficacia.
  • I log files e la loro acquisizione, correlazione e utilizzo, sia durante un’investigazione sia durante un processo di gestione incidenti di sicurezza.
  • i processi di data carving, cioè le attività di ricerca ed estrazione di dati, più o meno strutturati, che possono essere utili ai fini delle indagini, inclusa l’interazione con i file system e i dati a basso livello, con particolare riferimento sia a formati particolari di files, sia problematiche di tipo fisico e legate alle procedure di imaging cioè di processi di copia “forense” delle informazioni contenute nei vari media.


I “volatile data”

La RFC 3227, contenente le linee guida sulla gestione delle digital evidences, è uno dei documenti di riferimento della comunità scientifica sulla gestione delle prove digitali. Si tratta di un documento che si avvia alla revisione ciclica, ma che è estremamente attuale e utilizzato anche dalle procedure derivate delle associazioni di settore e finanche, in alcuni tratti, dagli standard ISO sul security management. La RFC 3227 dice che, nella fase di preservation, si deve procedere all’acquisizione dei dati a partire dai “più volatili” per arrivare ai “meno volatili”: i primi vengono chiamati “volatile data”, mentre i secondi vengono denominati “data at rest”. Nel mondo reale, cioè in quello dove sussistono esigenze di incident response e di computer forensics da conciliare con quelle aziendali di mitigazione del rischio, quindi di maggiore flessibilità, il problema viene affrontato con soluzioni di live response and analysis, peraltro condivise in sede giudiziaria. Tuttavia, la comunità scientifica ha più volte manifestato l’esigenza di esplorare comunque lo spettro delle possibilità di garantire al massimo l’integrità di base dei dati stessi. Nella maggior parte dei casi, i dati volatili risiedono in RAM. E quando c’è l’esigenza di acquisire questi dati, si opera allo stato con strumenti che, comunque, accedono evidentemente alla RAM medesima, modificandone lo stato iniziale. Più volte, specialmente nelle aule giudiziarie, si è provato, in maniera a dir poco audace, a smontare a priori il risultato degli interventi di preservation sulla RAM stessa. Tuttavia, nelle stesse aule è stato dimostrato che, una volta identificati i punti ove il tool di imaging abbia “lasciato traccia” , non si può escludere a priori la genuinità della RAM copiata. A tal proposito, la ricerca si è indirizzata in due direzioni, una relativa ad un modello di estrazione dati ed analisi, e l’altra correlata ad un possibile strumento di acquisizione ad impatto zero.
Dal punto di vista della modellazione, il Dfrws vede proporre un approccio basato sull’analisi segmentata dello stack, in grado di effettuare un raffronto strutturato tra una baseline predefinita (risultato di un’analisi fondamentale) e le possibili variazioni intervenute durante una particolare operazione. Questo modello ha un’implementazione la quale è stata testata in ambiente Windows, fornendo interessanti risultati. Si tratta però di una ricerca di tipo sperimentale, diversa da Body Snatcher, un tool di acquisizione consistente in un vero e proprio micro sistema operativo bi componente in grado di effettuare l’immagine della memoria con un impatto irrilevante sulla sua genuinità. I creatori di Body Snatcher, infatti, partendo dalle due esigenze fondamentali della computer forensics (Fidelity e Reliability) evidentemente collegate alle esigenze di integrità. Gli studi e i test effettuati confermano la potenziale applicabilità di questa ricerca anche in ambiti più estesi, superando i limiti pratici delle acquisizioni della memoria basate su hardware dedicato, tra l’altro proposte nel 2002.

La gestione dei log files

La ricerca underground sta proponendo delle tematiche di estremo interesse relative alla possibilità di effettuare malicious injection sui dispositivi di logging. Esse presumono l’esistenza di vulnerabilità strutturali dei sistemi di generazione dei log stessi, pertanto si parla di tematiche di sicurezza ricorrenti e ben note. Tuttavia, mentre si parla ancora del rapporto tra SIM, correlazioni e forensics, la ricerca si sta concentrando su tre aspetti interessanti. Il primo riguarda Windows Vista, il secondo l’analisi di sorgenti multiple per la gestione della ricostruzione degli eventi e il terzo l’analisi degli eventi su dispositivi “alternativi” al mondo IT.
Microsoft Vista è sicuramente uno dei sistemi operativi più studiati in questo periodo. Sicuramente lo è per le features crittografiche che, sulla carta, preoccupano gli investigatori, ma lo è anche per i nuovi formati di log, diversi da quelli dei sistemi operativi precedenti della famiglia Windows, ma anche con molte caratteristiche in più. Iniziano ad intravedersi le prime applicazioni non proprietarie per la lettura e l’interpretazione dei log files, nonché le prime definizioni tassonomiche. Stiamo parlando di un nuovo ruolo di XML, sempre più utilizzato, anche da progetti portati avanti dalla Internet Engineering Task Force, quali il famoso IODEF, per l’interscambio in tempo reale delle informazioni legate alle intrusioni e alle violazioni di sicurezza in generale. Il “problema” più importante, comunque, riguarda il formato “non in chiaro” dei log di vista, che richiedono un viewer dedicato, che dal punto di vista della computer forensics potrebbe creare quantomeno un dibattito sulla riproducibilità. Il secondo tema che viene affrontato riguarda la correlazione tra vari log finalizzata al mantenimento della loro integrità e alla definizione della timeline. Con quest’ultimo termine si indica la ricostruzione del vari eventi secondo una sequenza temporale coerente, al fine di determinare un possibile scenario di quanto accaduto. La tendenza è quella di utilizzare i log dei vari servizi di sicurezza (es. IDS) con i syslog e i trace di rete, correlandoli tra loro secondo degli algoritmi sperimentati. Dal punto di vista dei sistemi operativi già largamente utilizzati da aziende e istituzioni segnaliamo FixEvt - A Tool for Automated Log Repair, uno strumento che si propone di effettuare una ricognizione e ripristino dei files di log corrotti, sotto XP/2003, in maniera automatizzata e con un buon range di affidabilità.

Notevole interesse, infine, sta suscitando il logging e la relativa analisi degli eventi generati da dispositivi che non siano appartenenti strettamente alla categoria IT ma che comunque siano in grado di generare trace. Stiamo parlando di dispositivi di sicurezza fisica (per esempio controllo accessi alle facilities) e inclusi in tecnologie di consumo, come per esempio gli antifurti o le scatole nere delle autovetture. Si tratta di fonti di prova molto importanti, da utilizzare evidentemente per ricostruire incidenti (non informatici) e simili circostanze. Uno dei paper che sono stati sottoposti all’esame del comitato tecnico ha proprio riguardato le modalità di logging sicuro degli eventi, nonché le modalità di conservazione e di analisi di log medesimi. Trattandosi di vere e proprie scatole nere, quindi, esistono dei metodi di estrazione e di gestione dei dati da esse risultanti. Anche qui si inizia a parlare di standardizzazione, anche se, in realtà, molti ritengono già sufficiente il formato syslog “puro” per raggiungere l’obiettivo.

L’interazione con i file systems

Di sicuro interesse, infine, la sessione relativa ai file systems, e alle problematiche ad essi correlate sia in ordine alle attività di recupero dati, sia di carving, sia addirittura di imaging. Qui la ricerca ha dimostrato una certa lungimiranza, con particolare riferimento all’utilizzo di tecnologie già disponibili per altri scopi per l’effettuazione di indagini approfondite e distribuite.
In questo momento, infatti, si parla sempre più insistentemente di Massive Threading: cioè di effettuazione di thread investigativi e di ricerca dati in parallelo, che evidentemente richiedono una concreta ed esponenziale potenza di calcolo. La comunità scientifica ritiene che le cosiddette GPU – Graphical Processing Units, per intenderci la classe a cui appartiene NVIDIA G80, siano in grado di risolvere una serie decisamente ampia di problemi, che vanno dalla distributed forensics fino alle attività di decription e code breaking, le cui implementazioni, tra l’altro, sono già disponibili in commercio per clienti accreditati. È opinione comune, quindi, che sia la ricerca sia la comunità degli operativi saranno in grado di sfruttare questo tipo di potenza di calcolo in maniera estesa, altresì con un potenziale risparmio in termini di costi.
Se l’utilizzo delle GPU è comunque correlato alla fase di elaborazione e di messa in opera di ricerche già individuate, sarà infine utile sapere che sono in fase di testing dei nuovi strumenti di data carving e di analisi documentale basati su pattern matching. Questa nuova categoria di strumenti dovrebbe essere in grado di gestire non solo l’analisi forense dei contenuti ma anche processi e tecniche alternative che abbiamo già citato da queste pagine, una per tutti la e discovery.

Questa è solo una breve anticipazione di quello che sta per succedere in queste ore negli USA: Vi terremo aggiornati.

giovedì 9 agosto 2007

Hard Time For Forensic Tools

Gli ultimi 10 giorni sono stati estremamente "caldi" per molti strumenti di digital investigation. in particolare, sono state segnalate alcune vulnerablità sia su prodotti commerciali (come guidance encase) sia su prodotti opensource.

Di seguito i dettagli

Encase:

CVE-2007-4194 (v 5.0)
CVE-2007-4201 (v 6.2 and 6.5)
CVE-2007-4202 (v EEE 6)

The Sleuth Kit (v <2.09):

CVE-2007-4195
CVE-2007-4196
CVE-2007-4197
CVE-2007-4198
CVE-2007-4199
CVE-2007-4200

I problemi sembrano maggiormente relativi al parsing di vari files, sia appositamente malformati sia volutamente creati all'interno di immagini FS.

Per quanto riguarda Guidance Software, il vendor ha pubblicato la sua risposta ufficiale qui
, mentre per quanto riguarda Sleuthkit, probabilmente Brian Carrier dirà qualcosa in merito al Dfrws o sul sito ufficiale (al momento in cui scriviamo non c'è nulla); ma conoscendolo non credo che sarà preoccupato più di tanto. Si metterà al lavoro e cercherà di patchare in fretta (ove necessario e possibile).

Desideriamo focalizzare l'attenzione dei nostri lettori su alcune riflessioni:

  • Lungi dal proteggere Guidance, ma alcune delle vulnerabilità segnalate alla BH 07 sono si possibili ma ogni forensic examiner che si voglia definire tale dovrebbe essere in grado di gestire e controllarle. Inoltre, una di esse presume addirittura l'esistenza di una connessione su network pubblico della forensic workstation, cosa evidentemente fuori standard.
  • L'esistenza di un così importante numero di segnalazioni di sicurezza, anche per gli strumenti Open, evidenzia che la debacle opensource Vs commercial forensics non può essere basata sull'intrinseca sicurezza di una categoria piuttosto che dell'altra. E' vero che in teoria l'Opensource può essere patchato più velocemente, ma chi conosce davvero i processi di validazione dei forensic tools in generale e la gestione del core di sleuthkit fatta dal suo autore sa che il concurrent engineering è solo teoria in questo caso.
  • Sono in molti ad averci chiesto la nostra opinione sull'argomento. La nostra posizione è che sia la fase di preservation (e quindi l'imaging e i formati correlati) a dover essere open, o quantomeno non vincolata ai vendor/formati proprietari, salvo casi eccezionali. Questo dovrebbe consentire un riscontro più agevole dei risultati investigativi, a prescindere dallo strumento di analisi utilizzato. In pratica: agendo su un formato open e magari validato (es. dd, Aff si vedrà) si potrà ragionare dopo sui findings e riscontrare questi ultimi in maniera incrociata. Si tratta comunque di un principio quasi sempre applicabile nell'analisi postmortem, un po' meno su quella live.

lunedì 6 agosto 2007

Volatile Data e IRItaly

Nel mese di settembre IRItaly rilascera' un paper sull'investigazione relativa ai volatile data. Il paper, che sarà prossimamente presentato ad una conferenza scientifica internazionale, avrà come argomento l'acquisizione e la gestione investigativa del cosiddetto "diskless storage", con esempi pratici su memorie non convenzionali.

lunedì 30 luglio 2007

Validazione NIST per Tableau Write Blocker

Nonostante ci sia voluto un pò di tempo, un numero sempre maggiore di dispositivi Tableau Write Blocker è stato testato dal U.S. National Institute of Standards & Technology (NIST). I risultati di questi test, pubblicati dal Dipartimenti di Giustizia Americano, sono reperibili qui.

The HandBook of Computer Networks

La wiley and sons ha appena annunciato il rilascio dell' Handbook in oggetto. Circa duemilacinquecento pagine di contenuti peer reviewed. Cento autori, 1000 reviewers. Un' opera colossale che, dopo ³the handbook of computer security, vede Dario Forte pubblicare un capitolo sull' Impiego dei sistemi operativi Windows. Per ulteriori informazioni cliccare qui. (link http://eu.wiley.com/WileyCDA/Section/id-305686.html)

giovedì 19 luglio 2007

Introduzione alla Virtualizzazione: Pro Contro e Security

Durante un recente convegno svoltosi negli Usa, uno dei relatori ha sollevato un’interessante questione relativa alla percentuale, rispetto al totale degli ambienti IT con cui si interagisce, delle macchine virtuali. Questo, in realtà, a parte le più o meno condivisibili valutazioni del mercato, non è di fatto un dato ancora certo, in quanto non è dato sapere il numero esatto delle virtual machines utilizzate, incluse quelle basate su opensource.

Sul sito di IRITaly è stato pubblicato un nuovo paper relativamente a questi argomenti.

mercoledì 4 luglio 2007

FastBloc Field Edition Forensically Validated by NIST

Guidance Software annuncia oggi che National Institute of Standards and Technology (NIST) ha terminato i test del dispositivo write blocker FastBloc(r) FE.

Ulteriori informazioni qui

venerdì 18 maggio 2007

IRItaly presente al Ciclo di Seminari "Sicurezza delle Informazioni" presso l'Università di Genova

Comunichiamo che IRItaly sarà presente al Ciclo di Seminari "Sicurezza delle Informazioni" organizzato dall' Ordine degli Ingegneri Provincia di Genova, il giorno 10 luglio 2007 presso la Sala Convegni dell'Ordine, Piazza dellaVittoria 11/4 dalle ore 17.00 alle 19.00. La relazione avrà come Titolo: "Il Trend degli incidenti di sicurezza e della Digital Forensic: benchmark internazionale e best practices." Lo speech, di scenario, si propone di effettuare un'analisi degli incidenti di sicurezza più rilevanti dell'ultimo semestre, nonché delle relative origini e metodiche di reazione, con particolare riferimento a: aspetti organizzativi, di metodo e tecnologici, con uno sguardo allo stato dell'arte della ricerca scientifica. L'ultima parte sarà relativa all'illustrazione del progetto IRItaly (incident response italy), giunto ormai al quarto anno di attività.

giovedì 17 maggio 2007

IRItaly alla Abi security conference di Roma

Per coloro che fossero interessati, vi comunichiamo che Dario Forte, Founder del Progetto IRItaly sarà presente, in qualità di relatore presso l’Associazione Bancaria Italiana, in occasione della Conferenza Nazionale sulla Sicurezza, che si svolgerà a Roma il giorno 22 maggio 2007. La relazione avrà come oggetto il trend della gestione incidenti nel mondo bancario. In quella sede saranno illustrati alcuni dei progetti più significativi che IRItaly sta portando avanti nel 2007.

venerdì 11 maggio 2007

Corsi ROMA

Si terranno a Roma nel mese di Maggio i seguenti corsi:

  • IRItaly BASE (22- 23 Maggio)
  • IRItaly ADVANCED (24 - 25 Maggio)
  • Computer Forensic Fundamentals (15 - 16 Maggio)
  • Incident Management (17 - 18 Maggio)
Per chi fosse interessato contattare info@iritaly.org

Faq Sito IRItaly

Sul sito http://www.iritaly-livecd.org/Faq.htm è stata aggiunta la sezione FAQ con le prime domande tratte dal forum.

IRITaly e Scuola addestramento Polizia Cesena

Si è concluso da poco il primo dei due corsi alla Scuola di Addestramento della Polizia di Cesena. Ringraziamo la scuola per la cordialità e l'interesse espresso dai partecipanti e facciamo i nostri complimenti alla struttura delle aule corsi. Il prossimo corso si terrà sempre nella stessa sede i giorni 21 e 22 Maggio 2007.

lunedì 30 aprile 2007

IRItaly free training

Nell'ottica di sensibilizzazione della comunità, IRItaly project continua il ciclo di training riservato alle Forze dell'Ordine. Nel mese di Maggio ci saranno due cicli di training avanzato sui documenti e sui live CD, nonchè il test dei nuovi strumenti di log analysis che saranno tra poco rilasciati. Il training avrà luogo a Cesena.

Disponibili 2 Posti per il Tool Validation Program

Nel Lab Shannon stiamo approntando, nell’ambito del progetto IRItaly, un set di validazione strumenti software. Detto set - per iniziare - avrà come oggetto:

  • i tool di imaging contenuti in IRItaly Live Cd (ove già non validati da enti terzi)
  • FTK Imager
  • Encase V6

I requisiti per partecipare al progetto sono

  • Conoscenza dei protocolli di testing e almeno di un linguaggio di programmazione.
  • Conoscenza approfondita delle tematiche di digital forensics.
  • Conoscenza dell’inglese tecnico scritto
  • Disponibilità a lavorare in gruppo
  • Curriculum orientato alla sicurezza con voti superiori al 25/30 (per gli studenti).

Per ulteriori informazioni contattare info at iritaly dot org

IRItaly Project: Validazione Forensic Tools

Nell'ambito del progetto IRItaly, è in fase di start up il processo di test di lettori “forensi” di schede SIM. Il progetto sarà gestito direttamente dal team, con l’ausilio del personale senior del lab shannon.

Parte del processo è riservata a studenti e ricercatori del DTI. Tuttavia vi sono degli slot disponibili per coloro che avessero interesse a partecipare, previa valutazione di CV e altre info.

Gli skills richiesti per dette attività sono:

  • Conoscenza dei protocolli di testing
  • Conoscenza approfondita delle tematiche di digital forensics.
  • Conoscenza dell’inglese tecnico scritto
  • Disponibilità a lavorare in gruppo
  • Curriculum orientato alla sicurezza con voti superiori al 25/30 (per gli studenti).
Per qualsiasi info: info at iritaly dot org

venerdì 9 marzo 2007

Aperto il Blog IRitaly

Benvenuti al Blog di IRitaly qui potrete trovare e/o richiedere informazioni circa le attività del progetto IRitaly e non solo...