IRItaly and PTK 2009/2010

Come ogni anno, con questo messaggio desidero ringraziare tutti coloro che hanno contribuito (e stanno contribuendo) ai progetti di IRITaly e DFLabs. É stato un 2008 estremamente carico di impegni, e di numerose soddisfazioni, su più livelli. I download del nostro progetto PTK sono state varie migliaia, provenienti da tutto il mondo, e ci hanno confermato che il progetto, tra l’altro scelto e valutato dal SANS Institute e da numerose altre realtà internazionali, tra cui Europol, è sulla buona strada.

Il 2009 ci aspetta con grandi prospettive, sia come Dflabs sia come progetto IRItaly, ormai giunto al suo sesto anno di attività.

Abbiamo iniziato quando, senza inutili snobbismi, la materia della digital investigation era davvero ad appannaggio di pochi al mondo. I primi contributi del progetto risalgono al 1999, con diverse partecipazioni internazionali, tra cui citiamo la pietra miliare, il DFRWS. Le nostre ricerche sono state pubblicate worldwide, e, ad oggi, possiamo contare circa venti articoli peer reviewed , in autorevoli riviste e conference proceedings.

E’ quindi giunto il momento di consolidare ulteriormente gli sforzi, in vista del 2010. Per il biennio che ci aspetta, abbiamo deciso questa strategia:

1) i Cd di IRItaly, nelle tre versioni, saranno ancora disponibili, ma non riceveranno ulteriore supporto (end of life). Si tratta di un progetto nato ormai sei anni or sono. In questo periodo assistiamo con piacere ad una serie di emulazioni, molte delle quali non presentano, a nostro parere, nulla di innovativo e, al contempo, per la loro impostazione, generano forti dubbi in materia di validazione forense. Al momento in cui scriviamo, nel nostro paese, abbiamo contato almeno quattro distribuzioni che “rielaborano” quanto consolidato da IRItaly ormai sei anni fa. Auguriamo ai rispettivi mantainers il massimo successo, pur ritenendo che non sia utile per la comunità (e per noi) proseguire su una strada (quella del live Cd) ormai appartenente ad una generazione passata.

2) DIM-AM continuerà ad essere supportato, in quanto si tratta di un tool, a nostro parere, ancora utile, e che può aiutare molti investigatori nella fase di preservation di base. Essendo poi DIM-AM parte integrante (ancorchè gratuita) di Digital Investigation Manager, ci sembra giusto proseguire nel supporto.

3) I nostri sforzi, sia di sviluppo, sia di documentazione sia di website, saranno diretti soprattutto a PTK, ormai vicino ai diecimila download reali, e le cui potenzialità sono ormai condivise a livello mondiale. Il progetto avrà numerose novità per il biennio 2009/2010.

A questo punto desidero ringraziare tutti coloro che hanno contribuito, direttamente e indirettamente, alla crescita di IRItaly. In particolare il Team di DFLabs. Un gruppo di persone di altissimo livello, sempre disponibili al confronto e alle sfide professionali; un gruppo che ha sposato il progetto sin da tempi non sospetti e che, ora più che mai, merita il plauso. Non solo del sottoscritto, ma di tutti coloro che, realmente, fanno questo mestiere.

Dario Forte.

PTK 1.0.1

E' stata rilasciata la versione 1.0.1 di PTK. All'interno di questa nuova release, oltre a diversi miglioramenti di sicurezza,è stata introdotta una features molto utile: la visualizzazione ricorsiva dei file. Grazie a questa nuova funzionalità un investigatore può visualizzare in un unica tabella tutti i file presenti all'interno della directory padre e di tutte le sotto-directory figlie.

Per coloro che avessero installato la precedente versione 1.0 è sufficiente decomprimere il nuovo archivio (ptk-1.0.1.tar.gz) all'interno della root directory del webserver, dopo il login, un messaggio avviserà l'utente del corretto aggiornamento. La versione 1.0.1 di PTK è già disponibile sul repository di sourceforge.

PTK Forensic 2009 ROADMAP

Il Team di PTK Forensic ha appena rilasciato la nuova roadmap per l'anno 2009

Q1 2009

• Automated Data Carving process

Q2 2009

• HASH Set Comparison (Ability to include NSRL hash set )
• PST mail archive parsig

Q3 2009

• Microsoft Windows Registry parsing

Si comunica che a partire da Novembre 1 2008, tutti i feedback o le richieste di supporto dovranno essere pubblicate direttamente sul PTK Support Forum.

PTK bootcamp, Roma e Crema

Ringraziamo i numerosi contatti che abbiamo avuto in queste settimane e che parteciperanno ai due seminari gratuiti su PTK. Vi ricordiamo che la prossima settimana, Martedì 28 Ottobre, avrà luogo il primo di questi eventi a Roma presso l'Hotel Colosseum alle ore 11.00, ancora qualche posto è disponibile. La settimana successiva, Venerdì 7 Novembre, il medesimo evento verrà ripetuto presso l'Università degli Studi di Milano - Polo di Crema. L'evento è aperto e completamente gratuito. Per seguire al meglio l'iniziativa, consigliamo ai partecipanti di dotarsi di un laptop.

Per la registrazione inviare una mail con i propri estremi a: ptk@dflabs.com

PTK 1.0 Ready to go

Come tutti voi sapete PTK 1.0 è pronto per esser rilasciato. Il successo dell'iniziativa è superiore alle aspettative. Abbiamo migliaia download da tutto il mondo e l'impegno per supportare la comunità dell'open source forensics è estremamente alto in DFLabs. A seguito delle moltissime richieste ricevute relative agli enhancement del progetto siamo lieti di annunciare che, oltre alle numerose funzionalità aggiunte all'interno dell'ultima versione di PTK 1.0, stiamo lavorando al miglioramento delle performance del motore di Indexing, questa attività richiederà ancora qualche giorno di test al fine di garantire la massima stabilità del progetto. Ancora qualche giorno di pazienza quindi. Ne vale la pena...

La prima presentazione ufficiale dello strumento sarà il 28 ottobre 2008 a Roma in occasione del PTK day. Per chi volesse partecipare è necessario fare richiesta a ptk@dflabs.com, i posti sono limitati.

Ringraziamo ancora tutti coloro che ci hanno supportato, mediante i loro feedback, e che hanno contribuito a migliorare il progetto.

PTK Bootcamp, presentazione ufficiale a Roma e Crema

DFLabs è lieta di annunciare il primo seminario ufficiale di PTK, il software di investigazioni informatiche e computer forensics interamente made in Italy. Grazie alle forze congiunte del gruppo di lavoro IRItaly e della sezione di Ricerca e Sviluppo dell'azienda DFLabs, dopo più di un anno di sviluppo, PTK si rivela la novità principale nel campo dei software open source dedicati alla Digital Investigation. Il Software è completamente gratuito e viene utilizzato già a livello worldwide con referenze pubbliche.

Il seminario, completamente gratuito, si terrà nelle seguenti location:

a Roma martedì 28 ottobre dalle ore 11.00 alle 16.00, Hotel Colosseum, via Sforza 10 00184. Fermata metropolitana: Cavour

e a Crema venerdì 7 novembre dalle 10.00 alle 16.00, presso l'Università statale DTI, via Bramante 61

Il seminario rappresenta un'importante occasione per sperimentare sul campo le capacità di PTK e per effettuare delle vere e proprie sessioni di training su evidence di vario tipo, come: Ram Dump, e Disk Images (FAT, NTFS, EXT3).

Di seguito l'agenda dell'evento:

ore 10.00: Il progetto PTK, Obbiettivi e novità per il 2009

ore 11.00: PTK, Overview dello strumento

ore 12.00: PTK Installazione e configurazione

ore 13:00: Pausa pranzo

ore 14:00: PTK, gestione della multiutenza e creazione di un caso

ore 15:00: Utilizzo di PTK per la risoluzione di casi pratici

pre 16:00: Chiusura seminario


Requisiti Laptop:

Nel caso i partecipanti volessero seguire il seminario lavorando direttamente con PTK sul proprio PC, si consiglia di installare e testare preventivamente:
- Distribuzione Linux (consigliata ubuntu)
- XAMPP
- TSK 3.0

Il seminario è gratuito e aperto a tutti, previa registrazione, i posti sono limitati. Al termine del seminario verrà rilasciato un attestato di partecipazione.

Per la registrazione inviare una mail con i propri estremi a: ptk@dflabs.com.

Corsi IRITaly

Nel mese di settembre saranno organizzati 3 corsi IRItaly:

• Computer Forensics Fundamentals (CFF)
• Computer Forensics Analysis (CFA)
• Computer Forensics Analysis Advanced (CFAD)

Per maggiori dettagli http://www.dflabs.com/it/training.php

Le date:

SETTEMBRE:
15 Introduzione Linux
16 CFA
17 CFA
18 CFAD
19 CFAD
23 CFF
24 CFF

Nel seguito le date delle successive sessioni di training.

NOVEMBRE:
24 CFF
25 CFF

DICEMBRE:
9 Intro Linux
10 CFA
11 CFA
16 CFAD
17 CFAD

Per ricevere l'indice di dettaglio di ogni corso o per altre informazioni scrivete a: info@dflabs.com

Grazie

PTK e TSK 3.0

PTK è stato adattato alla nuovissima versione di TSK 3.0. Tra le principali migliorie si citano:

- la migliore gestione dei file cancellati e dei file orfani
- la distinzione, a livello temporale, tra Modified Time, Access Time, Change Time e Birth Time

La seconda miglioria introduce il nuovo concetto di MACB fornendo quindi informazioni più precise in merito ai file contenuti su file system NTFS. Si riporta un'immagine di PTK in funzione con TSK 3.0.

Ricordiamo che questa nuova versione di PTK sarà disponibile dalla fine del mese di settembre a meno di espressa richiesta al Team di PTK (ptk@dflabs.com) al fine di contribuire alla fase beta. Ovviamente la nuova versione conterrà molte altre aggiunte e migliorie.

PTK Team apre a nuovi sviluppatori per l' indexing engine

In previsione del rilascio della versione final di PTK previsto entro il 30 sett. 2008, stiamo lavorando all'introduzione di nuove funzionalità come un sistema di Filtering all'interno della sezione di file analysis, basato su nome file, estensione e MACB time inoltre stiamo provvedendo ad inserire un modulo di generazione report sulla base dei bookmark creati.

Abbiamo anche intenzione di migliorare le performance del motore di indexing e per questo stiamo stiamo cercando nuovi volontari che abbiamo voglia di contribuire al progetto. Ogni contributo sarà ovviamente citato. I requisiti sono la conoscenza del linguaggio Perl e della suite TSK.

Chi fosse interessato può contattarci all'indirizzo ptk@dflabs.com.

Grazie e a presto

Rilasciato PTK beta 0.2

Dopo due mesi di lavori è stata rilasciata la seconda versione beta di PTK. Le attività di sviluppo si sono concentrate sulla parte di keyword search che è stata integrata con il modulo di Live search. Ad ora quindi PTK è in grado di effettuare ricerche sia su base indicizzata (garatendo risultati in real time), si ain modalità live sull'evidence importata. La ricerca live garantisce l'identificazioni di stringhe presenti all'interno dello slack space o in porzioni frammentate di file. PTK ha superato con successo tutti i testi proposti dal DFTT in termini di ricerca di stringhe su file system NTFS, FAT e EXT3.

Nuove migliorie sono state introdotte anche per la parte di installazione. Ora infatti l'utente può installare PTK mediante l'uso di una comoda interfaccia Web senza doversi preoccupare della configurazione dello strumento. Il nuovo processo di installazione risolve diversi problemi di compatibilità che potrebbero sorgere mediante l'uso di diverse distrubuzioni Linux.

Per il download si rimanda alla pagina del progetto su Source Forge: http://sourceforge.net/projects/ptk-forensics/

Per l'installazione gli step necessari sono ora soltanto 3:

1- Estrarre l'archivio all'interno delle directory di apache. (/var/www/, /var/www/htdocs, /var/www/localhost/)

2- Mediante il browser aprire il seguente link http://localhost/ptk/install.php

3- Compilare i campi per terminare il processo di installazione

Luglio 7 2008 PTK presentato al Digital Investigations ISSA 2008 Conference, Johannesburg SA,

Topic della presentazione:
Advances in Digital Investigations: Research, open source and commercial tools.

La versione presentata è la PTK beta 2, ricca di numerose funzionalità aggiuntive tra cui il sistema di keyword searching, ormai completato e perfettamente funzionante. La sezione di ricerca di PTK ha superato tutti i test di keyword searching del DFTT e permette di ottenere risultati in tempi molto ridotti grazie al sistema di pre-processing dell'immagine.

La beta 2 uscirà il 15 luglio e, oltre al sistema di keyword search, conterrà numerose altre feature come il nuovo installer ottimizzato e completamente automatizzato, nuove funzionalità di bookmarking e analisi.

La nuova presentazione è disponibili qui.

PTK e Digital Forensics Tool Testing Image (#2)

FAT Keyword Search (passed)

Il test di questa settimana rigurda le ricerche di keyword all'interno di un file system FAT. Ovviamente i 20 quesiti posti da DFTT prevedono la ricerche di stringhe in queste situazioni:

• spazio allocato
• spazio non allocato
• crossed su due file (di file alloca e non allocati)
  
• all'interno dello slack space (di file alloca e non allocati)
• ricerche tramite espressioni regolari.

PTK risolve tutti i 20 test facendo sia uso delle features di ricerca Indicizzata, molto utile per i contenuti allocati, sia della ricerca Live che invece completa le ricerche laddove la indexed non arriva. Entrambe le modalità di ricerca offrono la possibilità di lavorare mediante espressioni regolari, è ovvio che la ricerca su base indicizzata fornisce tempi di risposta praticamente in real-time anche su elevati moli di dati.
Proponiamo un esempio di ricerca tramite espressione regolare relativamente al quesito #17:

PTK e Digital Forensics Tool Testing Image (#7)

NTFS Undelete (and leap year) Test #1 (passed WE)

Sono stati effettuati i test e corretti i problemi di individuazione dei file cancellati relativamente a File System NTFS. La versione di TSK 3.0, permetterà di risolvere le due eccezioni (WE=With Exceptions), non risolte anche in Autopsy, che non permettono la visualizzazione dei file definiti Orfani e degli Alternate Data Stream (ADS). Il test ha dato esito positivo come si può notare dall'immagine allegata. Riportiamo per completezza la descrizione dell'immagine e il risultato di PTK.

"This test image is a 6MB NTFS file system with eight deleted files, two deleted directories, and a deleted alternate data stream. The files range from resident files, single cluster files, and multiple fragments. No data structures were modified in this process to thwart recovery. They were created in Windows XP, deleted in XP, and imaged in Linux. "

DFTT test image: http://dftt.sourceforge.net/test7/index.html

Digital Forensics Tool Testing Images e PTK

La struttura di PTK è ormai definita, la nuova fase di Beta test prevede l'ottimizzazione delle funzionalità presenti e la risoluzione di possibili bug o carenze. Questo processo porterà allo sviluppo della versione Stable dello strumento prevista per la fine del mese di Settembre 2008. Per questo motivo, oltre ai test interni, stiamo iniziando un processo di validazione basato sulla verifica delle 13 immagini, ricreate ad-hoc da Brian Carrier, presenti all'indirizzo: dftt.sourceforge.net. Questo processo mira a consolidare le funzionalità di PTK rendendolo il più efficace possibile durante l'attività di indagine ed aggiungendo solamente le funzionalità indispensabili come ad esempio il modulo di Data Carving.

Extended DOS Partition Test (passed)

Partiamo con il primo test di riconoscimento partizioni basato su DOS a seguito di modifica manuale della Partition Table. Riportiamo la descrizione dell'immagine e il risultato di PTK.

"Most DOS partition tools will not allow the user to create a third entry in an extended partition. A test image was created by modifying the partition table by hand with a hex editor and the system was booted. Both Windows and Linux read the third entry in the extended partition table and allowed the user to mount the partition. This test was to verify that forensic tools also allowed the investigator to view the partition in the third entry. "

PTK Beta Testing - Qualche news -

A poche ore dal rilascio ufficiale sono numerosi gli utenti che stanno testando la nuova versione Beta del tool PTK. Numerosi sono anche i feedback che stiamo ricevendo in merito alle funzionalità e all’interfaccia adottata. Al tal proposito comunichiamo che i test effettuati in laboratorio e durante tutta la fase di alpha test hanno portato a feedback importanti e ci aspettiamo che anche questa seconda fase di test ci conduca allo stesso risultato. Al fine di considerare le varie casistiche vi pregiamo di comunicarci eventuali incoerenze, nella maniera più dettagliata possibile. A questo proposito abbiamo lanciato su SF una mailing list di discussione. Nel momento in cui scriviamo stiamo operando miglioramenti per una completa gestione del file system NTFS il quale richiede particolari istruzioni per l’enumerazione dei file cancellati (per coloro che hanno familiarità con Sleuthkit, stiamo parlando del comando ifind). Ringraziandovi della vostra partecipazione e sicuri di vostri utili e costruttivi feedback, vi auguriamo buon lavoro con PTK!

Università di Crema, l'azienda DFLabs e prima DEMO di PTK

Grande successo di partecipazione all'evento realizzato in collaborazione con l'Università degli Studi di Milano - Polo di Crema, all'interno del percorso informativo "Incontri con le aziende". Oltre 100 persone, fra presenti in aula e collegati in streaming, hanno seguito ed interagito con il seminario tenuto dal prof. Forte sul tema "Le nuove professioni dell’informatica: Digital Forensics". Per chi non ha potuto seguire l'evento, trovate riportati nel seguito del post i link alle registrazioni (in versione solo audio o audio + video) del seminario stesso. Durante la seconda parte dell'incontro alcuni collaboratori del prof. Forte, hanno presentato la prima demo del progetto PTK (ptk.dflabs.com). Ricordiamo a tal proposito che Venerdì 30 Maggio, alle ore 18:00 GMT+1, si terrà il webcast di presentazione, in lingua inglese, in concomitanza con la release della versione beta del progetto. Sulla scia dell'interesse dimostrato per il progetto PTK, seguiranno altri seminari mirati sull'utilizzo dello stesso e delle varie features, all'Università degli Studi di Milano - Polo di Crema. Infine vogliamo ringraziare tutti i partecipanti e le persone intervenute per l'interesse dimostrato.

Video:
http://www.dti.unimi.it/files/seminario/allegati/20080519_dflabs.wmv

Solo audio:
http://www.dti.unimi.it/files/seminario/allegati/20080519_dflabs.mp3

Incontro con l'azienda DFLabs - Managing Infosecurity Risks

INCONTRI CON LE AZIENDE

LUNEDI' 19 MAGGIO 2008 alle 14:30,
DTI Crema, Via Bramante 61

Seminario:
Le nuove professioni dell'informatica: Digital Forensics
Relatore: Dario Forte, Amministratore Delegato di DFLabs e Docente incaricato del corso di Gestione incidenti informatici al DTI


Abstract:

Il mondo dell'informatica è ormai in continua evoluzione, e con esso il settore della sicurezza. La Digital Investigation è una disciplina ormai consolidata, la cui specializzazione è stata portata in auge anche dai media televisivi. Il DTI di Crema ha una tradizione di eccellenza nel settore, tra l'altro molto richiesto dal mondo del lavoro. L'intervento introdurrà alla materia, con numerose case histories, concludendo con una disamina attenta delle opportunità di lavoro offerte nel settore.

PARTECIPAZIONE

Il seminario è pubblico e con ingresso libero a tutti gli interessati, sia interni che esterni al Dipartimento di Tecnologie dell'Informazione. All'interno del seminario sarà presentata in anteprima nazionale in demo la versione beta di PTK il nuovo progetto italiano di Computer Forensics, destinato a costituire l'interfaccia avanzata di Sleuthkit.

Rilasciato AFFLIB 3.2 con supporto alla crittografia a chiave pubblica

E' di oggi l'annuncio della nuova versione delle ormai note librerie AFF che dal 2006 a oggi continuano ad evolvere grazie all'intenso lavoro di sviluppo di Simson L. Garfinkel. La nuova versione introduce numerose migliorie in campo di controllo dell'integrità delle copie e di riservatezza dei dati. E' ora infatti possibile eseguire sulle immagini prodotte, sia in formato AFF che AFD, due fondamentali operazioni:

• Firma
• Crittografia

Per quanto riguarda il processo di firma i vantaggi sono ovviamente molteplici, primo tra tutti il fatto di non dover demandare l'intero processso di integrità all'uso di algoritmi di hash quali MD5 o SHA1 ma di poter utilizzare firme digitali a chiave asimmetrica sia nei processi di generazione delle Forensic Images sia durante i processi di creazione delle copie delle evidence. L'intero processo di Chain of Custody viene conservato e firmato all'interno dei metadati che accompagnano ogni evidence.

Il supporto all'encryption invece permette di conservare in modo sicuro i dati raccolti. L'algortimo su cui si basa è AES-256 e, a differenza di alcuni meccanismi di protezione con password per evidence file, AFF garantisce che, a meno di Brute Force Attack, non è possibile accedere al contenuto in chiaro dei dati bypassando le strutture di controllo.

Riferimenti: http://www.afflib.org/affcrypto.pdf

PTK, già ora in grado di riconoscere e importare file AFF, supporterà, nelle sua versione Stable (settembre 2008), l'intero processo di gestione delle evidence AFF 3.0.

PTK Memory Dump Keyword Search

Continuano ad essere aggiunte nuove funzionalità a PTK. Questa settimana vogliamo proporre un'importante funzione di analisi dei contenuti di un Ram Dump. Spesso una delle attività più importanti, per quanto rigurda l'analisi della memoria, è quella di cercare di individuare la presenza di contenuti non salvati su disco oppure crittografati su HD ma non in RAM. Un esempio di questa attività può essere la ricerca di password salvate in determinate sezioni della memoria. Le password potebbero essere riferite a sessioni di autenticazione Web, sistemi di protezione o crittografia dei dati (ex. Truecrypt) o altri per altri fini. Il recupero di questa informazioni potrebbe agevolare molto il processo di analisi dei supporti di memorizzazione permanente, senza dover rallentare le attività con lunghi processi di password cracking. La nuova funzionalità fornisce quindi una sezione di keyword search sia tramite normali keyword che tramite l'utilizzo di espressioni regolari.

Certi che questa nuova funzionalità riscuoterà molto interesse vi proponiamo uno screenshotsdi PTK in azione.

PTK Memory Analysis

La sezione RAM Analysis rappresenta la prima estensione dello strumento che si inserisce all'interno della struttura a plug-in di PTK. Ogni plug-in sviluppato aggiungerà nuove funzionalità e renderà il processo di analisi delle evidence sempre più automatizzato.
La sezione RAM analysis si basa sull'utilizzo dello strumento volatility e permette di analizzare a vari livelli un RAM dump effettuato mediante l'uso del tool dd. PTK permette quindi di analizzare lo stato del sistema nel momento del dump e da esso ricavare informazioni come ad esempio:

• connessioni attive
• dll caricate dai processi
• file aperti
• moduli del kernel caricati
• processi
• sockets
• oggetti di tipo ETHREAD
• virtual Address Descriptors (VAD) di ogni processo
  

In questo momento sono supportati i dump dd-style su sistemi Windows XP SP2.

FTK 2.0 parte 2

L'architettura introdotta da FTK 2.0 è una vera rivoluzione. Nel precedente post si era scritto che FTK 2.0 adottava una archiettura client/server. Questo è vero in linea di massima ma sotto il cofano di FTK si nasconde una architettura studiata con chiaro scopo: la scalabilità. La CF non è più quella che era 10 anni fa quando gli unici tool erano per il DOS (prima ancora che arrivasse EnCase o FTK) e che la dimensione dei dati da analizzare si contava in qualche Giga di disco. Ormai chi lavora in questo settore conosce i problemi che emergono, vuoi per il corso della tecnologia (dischi da 750 Gb nei pc casalinghi ormai!), vuoi per la complessità delle reti e dei sistemi operativi. Capita quindi che una perizia debba prendere in esame un paio di PC desktop, il laptop dell'ufficio e magari uno o due dispositivi portatili come un blackberry o un PDA, senza contare i vari USB thumbdrive, i cdrom, dvd, ecc. FTK scompone lo strumento in tre distinte parti:

• L'interfaccia (user interface), che richiede poca memoria e poca potenza di calcolo.
• Il database che mantiene le informazioni del nostro caso o dei casi gestiti dall'examiner.
• Il worker, ovvero quella componente responsabile per l'indicizzazione, il recovery dei file e tutte le comuni operazioni che richiedono potenza computazionale e memoria

Nell versione attuale di FTK (la stand alone) permette di fondere queste tre componenti sullo stesso sistema oppure separare l¹interfaccia utente dalle altre due. Il vantaggio è che quindi possiamo tenere un PC, anche un laptop, per l¹analisi del nostro caso e lasciare fare il lavoro sporco ad un sistema multiprocessore e con memoria ram a volontà. Non sarebbe però una vera scalabilità si ci dovessimo fermare solo a questa scissione. Nelle versioni Professional e Lab Edition sarà possibile scindere anche il database dal worker o dai workers

Ed è qui che i vantaggi di una architettura trasparente e scalabile emergono. Facciamo un breve esempio considerando una architettura con una interfaccia utente (o magari anche due), il database e tre workers. Una volta che una immagine disco(o perché no, più immagini) viene aggiunta nel caso i workers si contendono i task da eseguire. Il primo worker potrebbe per esempio iniziare il data recovery, il secondo l'indicizzazione dell'immagine e l'ultimo iniziare il bruteforce di un file protetto da password e il tutto è trasparente all'utente. E' chiaro che se ci troviamo di fronte a un caso in cui vengono coinvolte numerose immagini disco con una serie di operazioni da eseguire su alcuni TeraByte di dati (e il trend ormai si attesta su queste dimensioni), una architettura del genere che dispone di macchine dedicate al lavoro duro non può che tornarci comoda. E le novità da parte di Accessdata non sono finite.

Nuova sessione corsi IRItaly

Vi segnaliamo le nuove date dei corsi IRItaly.

IRItaly Base: 22(opzionale Linux) -23 -24 aprile 2008. Sede: Crema
Computer Forensic Fundamentals: 21 -22 aprile 2008. Sede: Roma
Incident Management: 23 - 24 aprile 2008. Sede: Roma

Durante i corsi tecnici verrà presentato il nuovo strumento PTK e effettuate delle Demo sul campo.

Per iscrizione: info@iritaly-livecd.org

Nuove Feature di PTK

Annuniciamo la nuova versione di PTK: ptk_alpha-0.0.1. Grazie ai numerosi feedback ricevuti dai PTK alpha tester di tutto il mondo, abbiamo inserito alcune nuove funzionalità, altre invece erano previste all'interno della road map.

1- Supporto di immagini splittate

Adesso PTK è in grado di riconoscere in modo automatico la presenza di file evidence splittati nei formati ENCASE, DD, AFF. E' sufficente selezionare un solo file, non necessariamente il primo, relativo ad un evidence e automaticamente verranno effettuate le operazioni di concatenazione e analisi del sistema di partizionamento dell'evidence stessa.

2- Keyword search

Ora è possibile effeture ricerche per keyword sia sullo spazio allocato che non allocato. Il modulo di ricerca permette di operare in due modalità:

• Indexed Search (Il risultato è fornito in real time sulla base del prodotto dell'atività di indexing, estrazione di ASCII strings)
• Live Search (Per la ricerca di particolari contenuti. La ricerca viene eseguita direttamente sul''evidence)

3- Graphic file analysis

PTK permette di visualizzare il contenuto di un file grafico direttamente dal modulo di File Analysis. Vengono rilevati anche i casi di extension mismatch.

Rilasciato FTK 2.0 parte 1

Nei laboratori DFLABS abbiamo avuto modo di testare, dopo aver eseguito un lungo e approfondito beta test, la versione 2.0 di FTK di AccessData. Lo strumento e l’azienda non hanno bisogno di presentazioni in quanto largamente conosciuti dagli Examiner di tutto il mondo. La versione 2.0, a lungo attesa da tutti è stata rilasciata da poco ed è totalmente innovativa rispetto alla versione del ramo 1. La prima novità riguarda l’architettura dello strumento di tipo client/server che utilizza la tecnologia Oracle come database. L’examiner ha quindi facoltà di mantenere il database sul sistema locale oppure installarlo su una seconda macchina.remota (più performante). E’ possibile quindi gestire diversi database e collegarsi di volta in volta a quello che contiene il caso in esame. La seconda feature innovativa è il multitasking, ovvero la possibilità di lanciare in background un processo come una keyword search o un recovery dei dati mentre si può navigare nel tree del file system, (sicuramente i più esperti faranno notare che questa feature è presente da anni in EnCase, lo strumento che assieme ad FTK si contende il mercato).

Il supporto dei file system è stato ampliato rispetto alla versione 1.7 così come il supporto per i file nel viewer integrato. Lo strumento può quindi visualizzare direttamente da interfaccia i documenti o alcuni file proprietari come se li stessimo guardando tramite l'applicazione nativa (anche EnCase possiede questa feature ma solo dalla versione 6 mentre FTK ha sempre avuto questa comodissima capacità, rispetto ad EnCase però FTK può mostrare filmati AVI o Mpeg). La gestione dei filtri ha fatto passi da gigante rispetto alla versione 1.7, oltre a essere molto più intuitivi è possibile discriminare i file del caso in base a oltre 150 caratteristiche dei file o del file system. E’ possibile inoltre combinare più filtri con operatori AND e OR in maniera estremamente flessibile.

Infine l’interfaccia, già estremamente “user friendly” sin dalla versione 1.x è migliorata parecchio. Sempre mantenendo una approccio “a tabs” è possbile modificarla a piacimento spostando le finestre e creando così un ambiente di analisi personalizzato. Chi ha a disposizione una scheda video dual monitor e due monitor affiancati potrà apprezzare le capacità di FTK di gestire questo hardware. E' possibile realizzare ulteriori personalizzazioni aggiungendo nuovi tab completamente definibili dall’utente.

Tab di default e configurazione standard:


Tab nuovo definito dall'utente relativo alla gallery senza opzioni di zoom:

Nei prossimi post varranno pubblicati i primi benchmark e alcune features curiose dello strumento.

Rilasciato PTK alpha version

E' stata rilasciata la prima release di PTK in versione alpha. Mediante questa versione sarà possibile iniziare a scoprire le nuove funzionalità dello strumento e fornire i primi feedback. Tra le funzionalità implementate in questa release segnaliamo la possibilità di creare casi e gestire gli operatori, inserire le immagini acquisite mediante le più comuni tecniche di acquisizione forense e di condurre le prime attività di analisi come: l'analisi del file system, la generazione della timeline, il file categorization, il calcolo degli hash (sono supportati gli algoritmi md5 e sha1) e l'esportazione dei file. Per coloro che vogliono far parte del programma di testing è sufficiente mandare una mail con le proprie credenziali a info (at) ptk (dot) com. Saranno ben accetti tutti i consigli tecnici nonchè nuove funzionalità, implementate in codice, che saranno discusse dal parte del team DFLabs che, dopo averne verificato l'efficacia, le inserirà all'interno del tool PTK. Si ricorda che il prossimo appuntamento con la successiva release è per il 31 Maggio in cui verranno affinate le funzionalità già presenti e ne verranno introdotte di nuove come la sezione Gallery e di Bookmarking oltre all'analisi per data sector delle evidence.

PTK, anteprima Alpha

Lo sviluppo dello strumento procede molto rapidamente e senza particolari problematiche, questo obbiettivo è stato raggiunto grazie ad una corposa fase progettuale del software che ha permesso l'idenditifcazione a priori di eventuali problematiche legate all'uso del Database. L'approccio LAMP tuttavia si stà rivelando sempre più opportuno, vogliamo proporvi alcune immagini in anteprima dell'interfaccia in Analysis Mode e Timeline Mode. Alcune funzioni dovranno essere ancora aggiunte prima del rilascio a fine mese, tuttavia rappresentano una versione quasi definitiva del layout.

File Analysis:
Timeline Analysis:

E' da ricordare che tutti i contenuti sono stati realizzati tramite tecnologia Ajax, per cui l'interazione con le finestre e le tabelle è semplicemente da provare...

PTK Test

A breve sarà inaugurata sul sito ufficiale di PTK la sezione Tutorial. In questo spazio saranno inserite brevi lezioni in merito alle capacità dello strumento.

I nostri sviluppatori stanno ad ora lavorando alle seguenti attività:

- Rilevamento automatico tipologia di partizione
- Tree browsing dell'evidence
- Rilevamente e visualizzazione file e directory cancellate
- Modalità di generazione della Timeline

Se vuoi contribuire al progetto PTK scrivi a ptk@dflabs.com.

PTK, la struttura

Meno di un mese al rilascio della prima beta. Ora possiamo cominciare a fornire maggiori dettagli in merito a quella che è destinata essere l'interfaccia che rimpiazzerà di Autopsy.La prima cosa da chiarire è che NON è solo un interfaccia. Alla base di PTK è stato realizzato un complesso motore di Indexing in grado di analizzare i contenuti delle evidence e storare i risultati su DB. L'indexing viene lanciato una sola volta, è customizzabile, si possono definire le operazioni di analisi più opportune sulla base di quello che deve essere analizzato. Una volta che un'evidence viene indicizzata più investigatori possono accedere ai contenuti e realizzare i propri bookmark personali sulla base dell'indagine. Tra le principali attività del motore di indexing di PTK troviamo:

PTK ENGINE

• Creazione della Timeline
• Categorizzazione dei file
• Analisi dei contenuti grafici
• Data Carving
• Indicizzazione delle keywords

PTK VIEWER

• File Analysis
• Dynamic Timeline
• File Categorization
• Gallery
• Keyword Search
• Bookmark

Queste sono solo alcune delle funzionalità. Il resto riguarda l'aspetto grafico e l'usabilità del programma. Alcuni screenshots sono già visibili, molti altri verranno aggiunti al sito nei prossimi giorni.

DFLabs risolve un importante caso nel settore della Pedofilia online

Il Team di DFlabs, diretto da Dario Forte ha contribuito in maniera determinante alla soluzione di un importante caso di Pedofilia on line. Nel Luglio del 2007, in Sardegna, una nota sociologa è stata accusata di detenzione e scambio di materiale pedopornografico. A seguito di complessi accertamenti tecnici di computer forensics il team di DFlabs è riuscito a scagionare l’indagata e a dimostrare un errore nel processo di identificazione. Ulteriori informazioni disponibili qui. DFLabs Computer Forensics

Presentazione PTK

Slide della presentazione di PTK alla conferenza del Department of Defense a Saint Luis svoltasi nel Gennaio 2008.

The PTK Official Site (Beta) is now online

Il sito web del progetto PTK, The alternative Sleuthkit Interface, è adesso online. PTK è la nuova interfaccia opensource per lo Sleuthkit ed è in fase di testing. Come è noto, PTK - The Alternative Sleuthkit Interface - è stata presentata alla DoD CyberCrime Conference di St Louis negli Usa (Dipartimento della Difesa degli Stati Uniti). Si tratta di un progetto opensource destinato a diventare uno dei più importanti della scena internazionale, ideato e sviluppato dal team di IRItaly, che vede al suo interno, oltre al Founder Dario Forte, alcuni studenti (Graduate and Post Graduate) del Polo di Crema. Tuttavia, per consentire una diffusione anche nel nostro paese, il progetto IRItaly e DFLabs organizzano un Webcast in diretta per il giorno 20 febbraio 2008 alle ore 17. In questo Webcast sarà presentato PTK nella sua totalità, le novitè rispetto ad Autopsy, quelle architetturali ed il progetto in generale. Sarà possibile fare domande in chat in diretta al team di progetto sugli sviluppi presenti e futuri, e proporsi come sviluppatore/tester. Per seguire il webinar gratuito è sufficiente mandare una mail a: ptk at dflabs dot com.

Grande successo alla DoD Conference08 per PTK

Sala piena (circa 200 persone) per la breakout session di presentazione di PTK la nuova interfaccia per lo sleuthkit presentata da IRItaly Project alla DoD Cybercrime Conference di St Louis (Stati Uniti). Durante la sessione sono state presentate le feature di PTK e raccolte le adesioni (un numero altissimo, da tutto il mondo) all'alpha e beta testing. Ricordiamo che PTK sarà presentato in italia con il Webex del 20 febbraio 2008. Per iscriversi scrivete pure a ptk at dflabs dot com.

PTK Webex di presentazione il 20 febbraio 2008

Come è noto, PTK - The Alternative Sleuthkit Interface - sarà presentatoalla DoD CyberCrime Conference di St Louis negli Usa. Tuttavia, per consentire una diffusione anche nel nostro paese, il progetto IRItaly e DFLabs organizzano un Webcast in diretta per il giorno 20 febbraio 2008 alle ore 17. In questo Webcast, ovviamente gratuito, sarà presentato PTK nella sua totalità, le novità rispetto ad Autopsy, quelle architetturali ed il progetto in generale. Sarà possibile fare domande in diretta al team di progetto sugli sviluppi presenti e futuri. I posti sono limitati, per iscriversi e ricevere l'invito elettronico al webcast scrivete a ptk at dflabs dot com.