Il team di IRItaly ringrazia i numerosissimi lettori del blog ed utenti del progetto per aver manifestato il loro interesse per la partecipazione al beta test di
PTK ed il nuovo modulo
DIM-AM. In particolare, ci sono stati segnalati alcuni presunti
issues relativi allo strumento
DIM AM che abbiamo proceduto a verificare, per i quali pubblichiamo i nostri feedback ufficiali. Invitiamo chiunque fosse interessato a scriverci. Sarà un piacere per noi rispondere ai feedback.
Problema segnalato:
"Nei test da me svolti abilitare questa opzione su dispositivi flash ha causato problemi al programma che, pur non bloccandosi, non proseguiva nelle operazioni, nè generava alcun messaggio di errore."
Risposta:
Per quanto riguarda l'opzione di forzare la lettura sui settori danneggiati, essa non funziona sulle memorie flash in quanto lo strumento di base (
DCFLDD) non funziona su questi supporti. La scelta di sviluppo di
DIM-AM è stata quella di aggirare questo problema di
DCFLDD. Le memorie flash infatti non sono uguali a un disco rigido nell'architettura dell'hardware e di conseguenza occorre una gestione differente demandabile unicamente all'utente. Il programma
DIM-AM spiega all'utente come comportarsi, con un warning prima di procedere (Vds figura sotto)
Problema segnalato:
"utilizzando il tool sotto MS Windows 2000, non viene visualizzata la chiave usb, benché venisse correttamente riconosciuta dal sistema;"
Feedback:
DIM-AM, come specificato nella
documentazione tecnica descrittiva e di test pubblicata sui vari siti
DFLabs e IRItaly a inizio novembre, non supporta Windows 2000. E'stato sviluppato e testato - con riferimento al protocollo
CFTT - per Windows XP e Windows Vista, in quanto Win2000 non è più supportato dal produttore e il trend della digital forensics è quello di abbandonare definitivamente questa piattaforma per l'effettuazione delle analisi. I test sono stati già pubblicati sul sito di DFLabs e IRitaly a novembre 2007 e sono comunque reperibili
qui.
Problema segnlatato.
"Nell’immagine relativa al riconoscimento dei device si può notare come alla destra compaia indicata l’assenza di tali dispositivi tra la workstation ed il device, se il tool riconosce la presenza, o meno, di tali dispositivi, è un peccato non la riporti all’interno dei log."
Feedback:
Invitiamo il cortese utente a verificare quanto da lui affermato.
DIM-AM, come testimoniato dal
documento di test, logga la presenza dei dispositivi: Wiebetech Tableau e ICS. Il loggare la presenza (e non il contrario) fa parte delle normali practices di programmazione, finalizzate all'esclusione dei falsi negativi/positivi.
Problema segnalato
" l’individuazione di Cryptocat (facente parte del pacchetto) come virus da parte di ZoneAlarm."
Feedback:
Per quanto riguarda
CryptCat viene riconosciuto come hacker tool non come virus, in quanto come è noto da tempo cryptcat è uno swiss knife che permette di fare un po' di tutto sui protocolli TCP/IP e viene spesso usato e installato insieme a dei rootkit ma NON è un virus.
Ad ogni modo abbiamo messo un avviso sul sito a riguardo.
Grazie ancora a coloro che hanno spedito le loro segnalazioni e i loro commenti. Buon lavoro a tutti.
