IRItaly BLOG, il blog ufficiale del progetto IRItaly

IRItaly and PTK 2009/2010

2008-12-27T04:10:00.000-08:00

Come ogni anno, con questo messaggio desidero ringraziare tutti coloro che hanno contribuito (e stanno contribuendo) ai progetti di IRITaly e DFLabs. É stato un 2008 estremamente carico di impegni, e di numerose soddisfazioni, su più livelli. I download del nostro progetto PTK sono state varie migliaia, provenienti da tutto il mondo, e ci hanno confermato che il progetto, tra l’altro scelto e valutato dal SANS Institute e da numerose altre realtà internazionali, tra cui Europol, è sulla buona strada.

Il 2009 ci aspetta con grandi prospettive, sia come Dflabs sia come progetto IRItaly, ormai giunto al suo sesto anno di attività.

Abbiamo iniziato quando, senza inutili snobbismi, la materia della digital investigation era davvero ad appannaggio di pochi al mondo. I primi contributi del progetto risalgono al 1999, con diverse partecipazioni internazionali, tra cui citiamo la pietra miliare, il DFRWS. Le nostre ricerche sono state pubblicate worldwide, e, ad oggi, possiamo contare circa venti articoli peer reviewed , in autorevoli riviste e conference proceedings.

E’ quindi giunto il momento di consolidare ulteriormente gli sforzi, in vista del 2010. Per il biennio che ci aspetta, abbiamo deciso questa strategia:

1) i Cd di IRItaly, nelle tre versioni, saranno ancora disponibili, ma non riceveranno ulteriore supporto (end of life). Si tratta di un progetto nato ormai sei anni or sono. In questo periodo assistiamo con piacere ad una serie di emulazioni, molte delle quali non presentano, a nostro parere, nulla di innovativo e, al contempo, per la loro impostazione, generano forti dubbi in materia di validazione forense. Al momento in cui scriviamo, nel nostro paese, abbiamo contato almeno quattro distribuzioni che “rielaborano” quanto consolidato da IRItaly ormai sei anni fa. Auguriamo ai rispettivi mantainers il massimo successo, pur ritenendo che non sia utile per la comunità (e per noi) proseguire su una strada (quella del live Cd) ormai appartenente ad una generazione passata.

2) DIM-AM continuerà ad essere supportato, in quanto si tratta di un tool, a nostro parere, ancora utile, e che può aiutare molti investigatori nella fase di preservation di base. Essendo poi DIM-AM parte integrante (ancorchè gratuita) di Digital Investigation Manager, ci sembra giusto proseguire nel supporto.

3) I nostri sforzi, sia di sviluppo, sia di documentazione sia di website, saranno diretti soprattutto a PTK, ormai vicino ai diecimila download reali, e le cui potenzialità sono ormai condivise a livello mondiale. Il progetto avrà numerose novità per il biennio 2009/2010.

A questo punto desidero ringraziare tutti coloro che hanno contribuito, direttamente e indirettamente, alla crescita di IRItaly. In particolare il Team di DFLabs. Un gruppo di persone di altissimo livello, sempre disponibili al confronto e alle sfide professionali; un gruppo che ha sposato il progetto sin da tempi non sospetti e che, ora più che mai, merita il plauso. Non solo del sottoscritto, ma di tutti coloro che, realmente, fanno questo mestiere.

Dario Forte.

PTK 1.0.1

2008-11-05T00:48:00.000-08:00

E' stata rilasciata la versione 1.0.1 di PTK. All'interno di questa nuova release, oltre a diversi miglioramenti di sicurezza,è stata introdotta una features molto utile: la visualizzazione ricorsiva dei file. Grazie a questa nuova funzionalità un investigatore può visualizzare in un unica tabella tutti i file presenti all'interno della directory padre e di tutte le sotto-directory figlie.

Per coloro che avessero installato la precedente versione 1.0 è sufficiente decomprimere il nuovo archivio (ptk-1.0.1.tar.gz) all'interno della root directory del webserver, dopo il login, un messaggio avviserà l'utente del corretto aggiornamento. La versione 1.0.1 di PTK è già disponibile sul repository di sourceforge.

PTK Forensic 2009 ROADMAP

2008-10-31T07:56:00.000-07:00

Il Team di PTK Forensic ha appena rilasciato la nuova roadmap per l'anno 2009

Q1 2009

Automated Data Carving process

Q2 2009

HASH Set Comparison (Ability to include NSRL hash set )
PST mail archive parsig

Q3 2009

Microsoft Windows Registry parsing

Si comunica che a partire da Novembre 1 2008, tutti i feedback o le richieste di supporto dovranno essere pubblicate direttamente sul PTK Support Forum.

PTK bootcamp, Roma e Crema

2008-10-20T02:44:00.000-07:00

Ringraziamo i numerosi contatti che abbiamo avuto in queste settimane e che parteciperanno ai due seminari gratuiti su PTK. Vi ricordiamo che la prossima settimana, Martedì 28 Ottobre, avrà luogo il primo di questi eventi a Roma presso l'Hotel Colosseum alle ore 11.00, ancora qualche posto è disponibile. La settimana successiva, Venerdì 7 Novembre, il medesimo evento verrà ripetuto presso l'Università degli Studi di Milano - Polo di Crema. L'evento è aperto e completamente gratuito. Per seguire al meglio l'iniziativa, consigliamo ai partecipanti di dotarsi di un laptop.

Per la registrazione inviare una mail con i propri estremi a: ptk@dflabs.com

PTK 1.0 Ready to go

2008-10-01T01:15:00.000-07:00

Come tutti voi sapete PTK 1.0 è pronto per esser rilasciato. Il successo dell'iniziativa è superiore alle aspettative. Abbiamo migliaia download da tutto il mondo e l'impegno per supportare la comunità dell'open source forensics è estremamente alto in DFLabs. A seguito delle moltissime richieste ricevute relative agli enhancement del progetto siamo lieti di annunciare che, oltre alle numerose funzionalità aggiunte all'interno dell'ultima versione di PTK 1.0, stiamo lavorando al miglioramento delle performance del motore di Indexing, questa attività richiederà ancora qualche giorno di test al fine di garantire la massima stabilità del progetto. Ancora qualche giorno di pazienza quindi. Ne vale la pena...

La prima presentazione ufficiale dello strumento sarà il 28 ottobre 2008 a Roma in occasione del PTK day. Per chi volesse partecipare è necessario fare richiesta a ptk@dflabs.com, i posti sono limitati.

Ringraziamo ancora tutti coloro che ci hanno supportato, mediante i loro feedback, e che hanno contribuito a migliorare il progetto.

PTK Bootcamp, presentazione ufficiale a Roma e Crema

2008-09-06T06:34:00.000-07:00

DFLabs è lieta di annunciare il primo seminario ufficiale di PTK, il software di investigazioni informatiche e computer forensics interamente made in Italy. Grazie alle forze congiunte del gruppo di lavoro IRItaly e della sezione di Ricerca e Sviluppo dell'azienda DFLabs, dopo più di un anno di sviluppo, PTK si rivela la novità principale nel campo dei software open source dedicati alla Digital Investigation. Il Software è completamente gratuito e viene utilizzato già a livello worldwide con referenze pubbliche.

Il seminario, completamente gratuito, si terrà nelle seguenti location:

a Roma martedì 28 ottobre dalle ore 11.00 alle 16.00, Hotel Colosseum, via Sforza 10 00184. Fermata metropolitana: Cavour

e a Crema venerdì 7 novembre dalle 10.00 alle 16.00, presso l'Università statale DTI, via Bramante 61

Il seminario rappresenta un'importante occasione per sperimentare sul campo le capacità di PTK e per effettuare delle vere e proprie sessioni di training su evidence di vario tipo, come: Ram Dump, e Disk Images (FAT, NTFS, EXT3).

Di seguito l'agenda dell'evento:

ore 10.00: Il progetto PTK, Obbiettivi e novità per il 2009

ore 11.00: PTK, Overview dello strumento

ore 12.00: PTK Installazione e configurazione

ore 13:00: Pausa pranzo

ore 14:00: PTK, gestione della multiutenza e creazione di un caso

ore 15:00: Utilizzo di PTK per la risoluzione di casi pratici

pre 16:00: Chiusura seminario

Requisiti Laptop:

Nel caso i partecipanti volessero seguire il seminario lavorando direttamente con PTK sul proprio PC, si consiglia di installare e testare preventivamente:
- Distribuzione Linux (consigliata ubuntu)
- XAMPP
- TSK 3.0

Il seminario è gratuito e aperto a tutti, previa registrazione, i posti sono limitati. Al termine del seminario verrà rilasciato un attestato di partecipazione.

Per la registrazione inviare una mail con i propri estremi a: ptk@dflabs.com.

Corsi IRITaly

2008-09-04T01:29:00.000-07:00

Nel mese di settembre saranno organizzati 3 corsi IRItaly:

Computer Forensics Fundamentals (CFF)
Computer Forensics Analysis (CFA)
Computer Forensics Analysis Advanced (CFAD)

Per maggiori dettagli http://www.dflabs.com/it/training.php

Le date:

SETTEMBRE:
15 Introduzione Linux
16 CFA
17 CFA
18 CFAD
19 CFAD
23 CFF
24 CFF

Nel seguito le date delle successive sessioni di training.

NOVEMBRE:
24 CFF
25 CFF

DICEMBRE:
9 Intro Linux
10 CFA
11 CFA
16 CFAD
17 CFAD

Per ricevere l'indice di dettaglio di ogni corso o per altre informazioni scrivete a: info@dflabs.com

Grazie

PTK e TSK 3.0

2008-09-01T08:08:00.000-07:00

PTK è stato adattato alla nuovissima versione di TSK 3.0. Tra le principali migliorie si citano:

- la migliore gestione dei file cancellati e dei file orfani
- la distinzione, a livello temporale, tra Modified Time, Access Time, Change Time e Birth Time

La seconda miglioria introduce il nuovo concetto di MACB fornendo quindi informazioni più precise in merito ai file contenuti su file system NTFS. Si riporta un'immagine di PTK in funzione con TSK 3.0.

Ricordiamo che questa nuova versione di PTK sarà disponibile dalla fine del mese di settembre a meno di espressa richiesta al Team di PTK (ptk@dflabs.com) al fine di contribuire alla fase beta. Ovviamente la nuova versione conterrà molte altre aggiunte e migliorie.

PTK Team apre a nuovi sviluppatori per l' indexing engine

2008-08-29T00:48:00.000-07:00

In previsione del rilascio della versione final di PTK previsto entro il 30 sett. 2008, stiamo lavorando all'introduzione di nuove funzionalità come un sistema di Filtering all'interno della sezione di file analysis, basato su nome file, estensione e MACB time inoltre stiamo provvedendo ad inserire un modulo di generazione report sulla base dei bookmark creati.

Abbiamo anche intenzione di migliorare le performance del motore di indexing e per questo stiamo stiamo cercando nuovi volontari che abbiamo voglia di contribuire al progetto. Ogni contributo sarà ovviamente citato. I requisiti sono la conoscenza del linguaggio Perl e della suite TSK.

Chi fosse interessato può contattarci all'indirizzo ptk@dflabs.com.

Grazie e a presto

Rilasciato PTK beta 0.2

2008-07-14T00:37:00.000-07:00

Dopo due mesi di lavori è stata rilasciata la seconda versione beta di PTK. Le attività di sviluppo si sono concentrate sulla parte di keyword search che è stata integrata con il modulo di Live search. Ad ora quindi PTK è in grado di effettuare ricerche sia su base indicizzata (garatendo risultati in real time), si ain modalità live sull'evidence importata. La ricerca live garantisce l'identificazioni di stringhe presenti all'interno dello slack space o in porzioni frammentate di file. PTK ha superato con successo tutti i testi proposti dal DFTT in termini di ricerca di stringhe su file system NTFS, FAT e EXT3.

Nuove migliorie sono state introdotte anche per la parte di installazione. Ora infatti l'utente può installare PTK mediante l'uso di una comoda interfaccia Web senza doversi preoccupare della configurazione dello strumento. Il nuovo processo di installazione risolve diversi problemi di compatibilità che potrebbero sorgere mediante l'uso di diverse distrubuzioni Linux.

Per il download si rimanda alla pagina del progetto su Source Forge: http://sourceforge.net/projects/ptk-forensics/

Per l'installazione gli step necessari sono ora soltanto 3:

1- Estrarre l'archivio all'interno delle directory di apache. (/var/www/, /var/www/htdocs, /var/www/localhost/)

2- Mediante il browser aprire il seguente link http://localhost/ptk/install.php

3- Compilare i campi per terminare il processo di installazione

Luglio 7 2008 PTK presentato al Digital Investigations ISSA 2008 Conference, Johannesburg SA,

2008-07-09T05:14:00.000-07:00

Topic della presentazione:
Advances in Digital Investigations: Research, open source and commercial tools.

La versione presentata è la PTK beta 2, ricca di numerose funzionalità aggiuntive tra cui il sistema di keyword searching, ormai completato e perfettamente funzionante. La sezione di ricerca di PTK ha superato tutti i test di keyword searching del DFTT e permette di ottenere risultati in tempi molto ridotti grazie al sistema di pre-processing dell'immagine.

La beta 2 uscirà il 15 luglio e, oltre al sistema di keyword search, conterrà numerose altre feature come il nuovo installer ottimizzato e completamente automatizzato, nuove funzionalità di bookmarking e analisi.

La nuova presentazione è disponibili qui.

PTK e Digital Forensics Tool Testing Image (#2)

2008-07-01T05:38:00.000-07:00

FAT Keyword Search (passed)

Il test di questa settimana rigurda le ricerche di keyword all'interno di un file system FAT. Ovviamente i 20 quesiti posti da DFTT prevedono la ricerche di stringhe in queste situazioni:

spazio allocato
spazio non allocato
crossed su due file (di file alloca e non allocati)
all'interno dello slack space (di file alloca e non allocati)
ricerche tramite espressioni regolari.

PTK risolve tutti i 20 test facendo sia uso delle features di ricerca Indicizzata, molto utile per i contenuti allocati, sia della ricerca Live che invece completa le ricerche laddove la indexed non arriva. Entrambe le modalità di ricerca offrono la possibilità di lavorare mediante espressioni regolari, è ovvio che la ricerca su base indicizzata fornisce tempi di risposta praticamente in real-time anche su elevati moli di dati.
Proponiamo un esempio di ricerca tramite espressione regolare relativamente al quesito #17:

PTK e Digital Forensics Tool Testing Image (#7)

2008-06-18T05:30:00.000-07:00

NTFS Undelete (and leap year) Test #1 (passed WE)

Sono stati effettuati i test e corretti i problemi di individuazione dei file cancellati relativamente a File System NTFS. La versione di TSK 3.0, permetterà di risolvere le due eccezioni (WE=With Exceptions), non risolte anche in Autopsy, che non permettono la visualizzazione dei file definiti Orfani e degli Alternate Data Stream (ADS). Il test ha dato esito positivo come si può notare dall'immagine allegata. Riportiamo per completezza la descrizione dell'immagine e il risultato di PTK.

"This test image is a 6MB NTFS file system with eight deleted files, two deleted directories, and a deleted alternate data stream. The files range from resident files, single cluster files, and multiple fragments. No data structures were modified in this process to thwart recovery. They were created in Windows XP, deleted in XP, and imaged in Linux. "

DFTT test image: http://dftt.sourceforge.net/test7/index.html

Digital Forensics Tool Testing Images e PTK

2008-06-04T05:56:00.000-07:00

La struttura di PTK è ormai definita, la nuova fase di Beta test prevede l'ottimizzazione delle funzionalità presenti e la risoluzione di possibili bug o carenze. Questo processo porterà allo sviluppo della versione Stable dello strumento prevista per la fine del mese di Settembre 2008. Per questo motivo, oltre ai test interni, stiamo iniziando un processo di validazione basato sulla verifica delle 13 immagini, ricreate ad-hoc da Brian Carrier, presenti all'indirizzo: dftt.sourceforge.net. Questo processo mira a consolidare le funzionalità di PTK rendendolo il più efficace possibile durante l'attività di indagine ed aggiungendo solamente le funzionalità indispensabili come ad esempio il modulo di Data Carving.

Extended DOS Partition Test (passed)

Partiamo con il primo test di riconoscimento partizioni basato su DOS a seguito di modifica manuale della Partition Table. Riportiamo la descrizione dell'immagine e il risultato di PTK.

"Most DOS partition tools will not allow the user to create a third entry in an extended partition. A test image was created by modifying the partition table by hand with a hex editor and the system was booted. Both Windows and Linux read the third entry in the extended partition table and allowed the user to mount the partition. This test was to verify that forensic tools also allowed the investigator to view the partition in the third entry. "

PTK Beta Testing - Qualche news -

2008-06-02T12:20:00.000-07:00

A poche ore dal rilascio ufficiale sono numerosi gli utenti che stanno testando la nuova versione Beta del tool PTK. Numerosi sono anche i feedback che stiamo ricevendo in merito alle funzionalità e all’interfaccia adottata. Al tal proposito comunichiamo che i test effettuati in laboratorio e durante tutta la fase di alpha test hanno portato a feedback importanti e ci aspettiamo che anche questa seconda fase di test ci conduca allo stesso risultato. Al fine di considerare le varie casistiche vi pregiamo di comunicarci eventuali incoerenze, nella maniera più dettagliata possibile. A questo proposito abbiamo lanciato su SF una mailing list di discussione. Nel momento in cui scriviamo stiamo operando miglioramenti per una completa gestione del file system NTFS il quale richiede particolari istruzioni per l’enumerazione dei file cancellati (per coloro che hanno familiarità con Sleuthkit, stiamo parlando del comando ifind). Ringraziandovi della vostra partecipazione e sicuri di vostri utili e costruttivi feedback, vi auguriamo buon lavoro con PTK!

Università di Crema, l'azienda DFLabs e prima DEMO di PTK

2008-05-21T03:21:00.000-07:00

Grande successo di partecipazione all'evento realizzato in collaborazione con l'Università degli Studi di Milano - Polo di Crema, all'interno del percorso informativo "Incontri con le aziende". Oltre 100 persone, fra presenti in aula e collegati in streaming, hanno seguito ed interagito con il seminario tenuto dal prof. Forte sul tema "Le nuove professioni dell’informatica: Digital Forensics". Per chi non ha potuto seguire l'evento, trovate riportati nel seguito del post i link alle registrazioni (in versione solo audio o audio + video) del seminario stesso. Durante la seconda parte dell'incontro alcuni collaboratori del prof. Forte, hanno presentato la prima demo del progetto PTK (ptk.dflabs.com). Ricordiamo a tal proposito che Venerdì 30 Maggio, alle ore 18:00 GMT+1, si terrà il webcast di presentazione, in lingua inglese, in concomitanza con la release della versione beta del progetto. Sulla scia dell'interesse dimostrato per il progetto PTK, seguiranno altri seminari mirati sull'utilizzo dello stesso e delle varie features, all'Università degli Studi di Milano - Polo di Crema. Infine vogliamo ringraziare tutti i partecipanti e le persone intervenute per l'interesse dimostrato.

Video:
http://www.dti.unimi.it/files/seminario/allegati/20080519_dflabs.wmv

Solo audio:
http://www.dti.unimi.it/files/seminario/allegati/20080519_dflabs.mp3

Incontro con l'azienda DFLabs - Managing Infosecurity Risks

2008-05-14T08:24:00.000-07:00

INCONTRI CON LE AZIENDE

LUNEDI' 19 MAGGIO 2008 alle 14:30,
DTI Crema, Via Bramante 61

Seminario:
Le nuove professioni dell'informatica: Digital Forensics
Relatore: Dario Forte, Amministratore Delegato di DFLabs e Docente incaricato del corso di Gestione incidenti informatici al DTI

Abstract:

Il mondo dell'informatica è ormai in continua evoluzione, e con esso il settore della sicurezza. La Digital Investigation è una disciplina ormai consolidata, la cui specializzazione è stata portata in auge anche dai media televisivi. Il DTI di Crema ha una tradizione di eccellenza nel settore, tra l'altro molto richiesto dal mondo del lavoro. L'intervento introdurrà alla materia, con numerose case histories, concludendo con una disamina attenta delle opportunità di lavoro offerte nel settore.

PARTECIPAZIONE

Il seminario è pubblico e con ingresso libero a tutti gli interessati, sia interni che esterni al Dipartimento di Tecnologie dell'Informazione. All'interno del seminario sarà presentata in anteprima nazionale in demo la versione beta di PTK il nuovo progetto italiano di Computer Forensics, destinato a costituire l'interfaccia avanzata di Sleuthkit.

Rilasciato AFFLIB 3.2 con supporto alla crittografia a chiave pubblica

2008-05-13T00:55:00.000-07:00

E' di oggi l'annuncio della nuova versione delle ormai note librerie AFF che dal 2006 a oggi continuano ad evolvere grazie all'intenso lavoro di sviluppo di Simson L. Garfinkel. La nuova versione introduce numerose migliorie in campo di controllo dell'integrità delle copie e di riservatezza dei dati. E' ora infatti possibile eseguire sulle immagini prodotte, sia in formato AFF che AFD, due fondamentali operazioni:

Firma
Crittografia

Per quanto riguarda il processo di firma i vantaggi sono ovviamente molteplici, primo tra tutti il fatto di non dover demandare l'intero processso di integrità all'uso di algoritmi di hash quali MD5 o SHA1 ma di poter utilizzare firme digitali a chiave asimmetrica sia nei processi di generazione delle Forensic Images sia durante i processi di creazione delle copie delle evidence. L'intero processo di Chain of Custody viene conservato e firmato all'interno dei metadati che accompagnano ogni evidence.

Il supporto all'encryption invece permette di conservare in modo sicuro i dati raccolti. L'algortimo su cui si basa è AES-256 e, a differenza di alcuni meccanismi di protezione con password per evidence file, AFF garantisce che, a meno di Brute Force Attack, non è possibile accedere al contenuto in chiaro dei dati bypassando le strutture di controllo.

Riferimenti: http://www.afflib.org/affcrypto.pdf

PTK, già ora in grado di riconoscere e importare file AFF, supporterà, nelle sua versione Stable (settembre 2008), l'intero processo di gestione delle evidence AFF 3.0.

PTK Memory Dump Keyword Search

2008-05-07T07:38:00.000-07:00

Continuano ad essere aggiunte nuove funzionalità a PTK. Questa settimana vogliamo proporre un'importante funzione di analisi dei contenuti di un Ram Dump. Spesso una delle attività più importanti, per quanto rigurda l'analisi della memoria, è quella di cercare di individuare la presenza di contenuti non salvati su disco oppure crittografati su HD ma non in RAM. Un esempio di questa attività può essere la ricerca di password salvate in determinate sezioni della memoria. Le password potebbero essere riferite a sessioni di autenticazione Web, sistemi di protezione o crittografia dei dati (ex. Truecrypt) o altri per altri fini. Il recupero di questa informazioni potrebbe agevolare molto il processo di analisi dei supporti di memorizzazione permanente, senza dover rallentare le attività con lunghi processi di password cracking. La nuova funzionalità fornisce quindi una sezione di keyword search sia tramite normali keyword che tramite l'utilizzo di espressioni regolari.

Certi che questa nuova funzionalità riscuoterà molto interesse vi proponiamo uno screenshotsdi PTK in azione.

PTK Memory Analysis

2008-04-29T02:54:00.000-07:00

La sezione RAM Analysis rappresenta la prima estensione dello strumento che si inserisce all'interno della struttura a plug-in di PTK. Ogni plug-in sviluppato aggiungerà nuove funzionalità e renderà il processo di analisi delle evidence sempre più automatizzato.
La sezione RAM analysis si basa sull'utilizzo dello strumento volatility e permette di analizzare a vari livelli un RAM dump effettuato mediante l'uso del tool dd. PTK permette quindi di analizzare lo stato del sistema nel momento del dump e da esso ricavare informazioni come ad esempio:

connessioni attive
dll caricate dai processi
file aperti
moduli del kernel caricati
processi
sockets
oggetti di tipo ETHREAD
virtual Address Descriptors (VAD) di ogni processo

In questo momento sono supportati i dump dd-style su sistemi Windows XP SP2.

FTK 2.0 parte 2

2008-04-18T05:31:00.000-07:00

L'architettura introdotta da FTK 2.0 è una vera rivoluzione. Nel precedente post si era scritto che FTK 2.0 adottava una archiettura client/server. Questo è vero in linea di massima ma sotto il cofano di FTK si nasconde una architettura studiata con chiaro scopo: la scalabilità. La CF non è più quella che era 10 anni fa quando gli unici tool erano per il DOS (prima ancora che arrivasse EnCase o FTK) e che la dimensione dei dati da analizzare si contava in qualche Giga di disco. Ormai chi lavora in questo settore conosce i problemi che emergono, vuoi per il corso della tecnologia (dischi da 750 Gb nei pc casalinghi ormai!), vuoi per la complessità delle reti e dei sistemi operativi. Capita quindi che una perizia debba prendere in esame un paio di PC desktop, il laptop dell'ufficio e magari uno o due dispositivi portatili come un blackberry o un PDA, senza contare i vari USB thumbdrive, i cdrom, dvd, ecc. FTK scompone lo strumento in tre distinte parti:

L'interfaccia (user interface), che richiede poca memoria e poca potenza di calcolo.
Il database che mantiene le informazioni del nostro caso o dei casi gestiti dall'examiner.
Il worker, ovvero quella componente responsabile per l'indicizzazione, il recovery dei file e tutte le comuni operazioni che richiedono potenza computazionale e memoria

Nell versione attuale di FTK (la stand alone) permette di fondere queste tre componenti sullo stesso sistema oppure separare l¹interfaccia utente dalle altre due. Il vantaggio è che quindi possiamo tenere un PC, anche un laptop, per l¹analisi del nostro caso e lasciare fare il lavoro sporco ad un sistema multiprocessore e con memoria ram a volontà. Non sarebbe però una vera scalabilità si ci dovessimo fermare solo a questa scissione. Nelle versioni Professional e Lab Edition sarà possibile scindere anche il database dal worker o dai workers

Ed è qui che i vantaggi di una architettura trasparente e scalabile emergono. Facciamo un breve esempio considerando una architettura con una interfaccia utente (o magari anche due), il database e tre workers. Una volta che una immagine disco(o perché no, più immagini) viene aggiunta nel caso i workers si contendono i task da eseguire. Il primo worker potrebbe per esempio iniziare il data recovery, il secondo l'indicizzazione dell'immagine e l'ultimo iniziare il bruteforce di un file protetto da password e il tutto è trasparente all'utente. E' chiaro che se ci troviamo di fronte a un caso in cui vengono coinvolte numerose immagini disco con una serie di operazioni da eseguire su alcuni TeraByte di dati (e il trend ormai si attesta su queste dimensioni), una architettura del genere che dispone di macchine dedicate al lavoro duro non può che tornarci comoda. E le novità da parte di Accessdata non sono finite.

Nuova sessione corsi IRItaly

2008-04-11T02:16:00.000-07:00

Vi segnaliamo le nuove date dei corsi IRItaly.

IRItaly Base: 22(opzionale Linux) -23 -24 aprile 2008. Sede: Crema
Computer Forensic Fundamentals: 21 -22 aprile 2008. Sede: Roma
Incident Management: 23 - 24 aprile 2008. Sede: Roma

Durante i corsi tecnici verrà presentato il nuovo strumento PTK e effettuate delle Demo sul campo.

Per iscrizione: info@iritaly-livecd.org

Nuove Feature di PTK

2008-04-11T01:36:00.000-07:00

Annuniciamo la nuova versione di PTK: ptk_alpha-0.0.1. Grazie ai numerosi feedback ricevuti dai PTK alpha tester di tutto il mondo, abbiamo inserito alcune nuove funzionalità, altre invece erano previste all'interno della road map.

1- Supporto di immagini splittate

Adesso PTK è in grado di riconoscere in modo automatico la presenza di file evidence splittati nei formati ENCASE, DD, AFF. E' sufficente selezionare un solo file, non necessariamente il primo, relativo ad un evidence e automaticamente verranno effettuate le operazioni di concatenazione e analisi del sistema di partizionamento dell'evidence stessa.

2- Keyword search

Ora è possibile effeture ricerche per keyword sia sullo spazio allocato che non allocato. Il modulo di ricerca permette di operare in due modalità:

Indexed Search (Il risultato è fornito in real time sulla base del prodotto dell'atività di indexing, estrazione di ASCII strings)
Live Search (Per la ricerca di particolari contenuti. La ricerca viene eseguita direttamente sul''evidence)

3- Graphic file analysis

PTK permette di visualizzare il contenuto di un file grafico direttamente dal modulo di File Analysis. Vengono rilevati anche i casi di extension mismatch.

Rilasciato FTK 2.0 parte 1

2008-04-05T00:54:00.000-07:00

Nei laboratori DFLABS abbiamo avuto modo di testare, dopo aver eseguito un lungo e approfondito beta test, la versione 2.0 di FTK di AccessData. Lo strumento e l’azienda non hanno bisogno di presentazioni in quanto largamente conosciuti dagli Examiner di tutto il mondo. La versione 2.0, a lungo attesa da tutti è stata rilasciata da poco ed è totalmente innovativa rispetto alla versione del ramo 1. La prima novità riguarda l’architettura dello strumento di tipo client/server che utilizza la tecnologia Oracle come database. L’examiner ha quindi facoltà di mantenere il database sul sistema locale oppure installarlo su una seconda macchina.remota (più performante). E’ possibile quindi gestire diversi database e collegarsi di volta in volta a quello che contiene il caso in esame. La seconda feature innovativa è il multitasking, ovvero la possibilità di lanciare in background un processo come una keyword search o un recovery dei dati mentre si può navigare nel tree del file system, (sicuramente i più esperti faranno notare che questa feature è presente da anni in EnCase, lo strumento che assieme ad FTK si contende il mercato).

Il supporto dei file system è stato ampliato rispetto alla versione 1.7 così come il supporto per i file nel viewer integrato. Lo strumento può quindi visualizzare direttamente da interfaccia i documenti o alcuni file proprietari come se li stessimo guardando tramite l'applicazione nativa (anche EnCase possiede questa feature ma solo dalla versione 6 mentre FTK ha sempre avuto questa comodissima capacità, rispetto ad EnCase però FTK può mostrare filmati AVI o Mpeg). La gestione dei filtri ha fatto passi da gigante rispetto alla versione 1.7, oltre a essere molto più intuitivi è possibile discriminare i file del caso in base a oltre 150 caratteristiche dei file o del file system. E’ possibile inoltre combinare più filtri con operatori AND e OR in maniera estremamente flessibile.

Infine l’interfaccia, già estremamente “user friendly” sin dalla versione 1.x è migliorata parecchio. Sempre mantenendo una approccio “a tabs” è possbile modificarla a piacimento spostando le finestre e creando così un ambiente di analisi personalizzato. Chi ha a disposizione una scheda video dual monitor e due monitor affiancati potrà apprezzare le capacità di FTK di gestire questo hardware. E' possibile realizzare ulteriori personalizzazioni aggiungendo nuovi tab completamente definibili dall’utente.

Tab di default e configurazione standard:

Tab nuovo definito dall'utente relativo alla gallery senza opzioni di zoom:

Nei prossimi post varranno pubblicati i primi benchmark e alcune features curiose dello strumento.

Rilasciato PTK alpha version

2008-04-01T08:27:00.000-07:00

E' stata rilasciata la prima release di PTK in versione alpha. Mediante questa versione sarà possibile iniziare a scoprire le nuove funzionalità dello strumento e fornire i primi feedback. Tra le funzionalità implementate in questa release segnaliamo la possibilità di creare casi e gestire gli operatori, inserire le immagini acquisite mediante le più comuni tecniche di acquisizione forense e di condurre le prime attività di analisi come: l'analisi del file system, la generazione della timeline, il file categorization, il calcolo degli hash (sono supportati gli algoritmi md5 e sha1) e l'esportazione dei file. Per coloro che vogliono far parte del programma di testing è sufficiente mandare una mail con le proprie credenziali a info (at) ptk (dot) com. Saranno ben accetti tutti i consigli tecnici nonchè nuove funzionalità, implementate in codice, che saranno discusse dal parte del team DFLabs che, dopo averne verificato l'efficacia, le inserirà all'interno del tool PTK. Si ricorda che il prossimo appuntamento con la successiva release è per il 31 Maggio in cui verranno affinate le funzionalità già presenti e ne verranno introdotte di nuove come la sezione Gallery e di Bookmarking oltre all'analisi per data sector delle evidence.

PTK, anteprima Alpha

2008-03-25T09:44:00.000-07:00

Lo sviluppo dello strumento procede molto rapidamente e senza particolari problematiche, questo obbiettivo è stato raggiunto grazie ad una corposa fase progettuale del software che ha permesso l'idenditifcazione a priori di eventuali problematiche legate all'uso del Database. L'approccio LAMP tuttavia si stà rivelando sempre più opportuno, vogliamo proporvi alcune immagini in anteprima dell'interfaccia in Analysis Mode e Timeline Mode. Alcune funzioni dovranno essere ancora aggiunte prima del rilascio a fine mese, tuttavia rappresentano una versione quasi definitiva del layout.

File Analysis:
Timeline Analysis:

E' da ricordare che tutti i contenuti sono stati realizzati tramite tecnologia Ajax, per cui l'interazione con le finestre e le tabelle è semplicemente da provare...

PTK Test

2008-03-17T04:23:00.000-07:00

A breve sarà inaugurata sul sito ufficiale di PTK la sezione Tutorial. In questo spazio saranno inserite brevi lezioni in merito alle capacità dello strumento.

I nostri sviluppatori stanno ad ora lavorando alle seguenti attività:

- Rilevamento automatico tipologia di partizione
- Tree browsing dell'evidence
- Rilevamente e visualizzazione file e directory cancellate
- Modalità di generazione della Timeline

Se vuoi contribuire al progetto PTK scrivi a ptk@dflabs.com.

PTK, la struttura

2008-03-05T06:44:00.000-08:00

Meno di un mese al rilascio della prima beta. Ora possiamo cominciare a fornire maggiori dettagli in merito a quella che è destinata essere l'interfaccia che rimpiazzerà di Autopsy.La prima cosa da chiarire è che NON è solo un interfaccia. Alla base di PTK è stato realizzato un complesso motore di Indexing in grado di analizzare i contenuti delle evidence e storare i risultati su DB. L'indexing viene lanciato una sola volta, è customizzabile, si possono definire le operazioni di analisi più opportune sulla base di quello che deve essere analizzato. Una volta che un'evidence viene indicizzata più investigatori possono accedere ai contenuti e realizzare i propri bookmark personali sulla base dell'indagine. Tra le principali attività del motore di indexing di PTK troviamo:

PTK ENGINE

Creazione della Timeline
Categorizzazione dei file
Analisi dei contenuti grafici
Data Carving
Indicizzazione delle keywords

PTK VIEWER

File Analysis
Dynamic Timeline
File Categorization
Gallery
Keyword Search
Bookmark

Queste sono solo alcune delle funzionalità. Il resto riguarda l'aspetto grafico e l'usabilità del programma. Alcuni screenshots sono già visibili, molti altri verranno aggiunti al sito nei prossimi giorni.

DFLabs risolve un importante caso nel settore della Pedofilia online

2008-03-05T01:07:00.000-08:00

Il Team di DFlabs, diretto da Dario Forte ha contribuito in maniera determinante alla soluzione di un importante caso di Pedofilia on line. Nel Luglio del 2007, in Sardegna, una nota sociologa è stata accusata di detenzione e scambio di materiale pedopornografico. A seguito di complessi accertamenti tecnici di computer forensics il team di DFlabs è riuscito a scagionare l’indagata e a dimostrare un errore nel processo di identificazione. Ulteriori informazioni disponibili qui. DFLabs Computer Forensics

Presentazione PTK

2008-03-03T05:19:00.000-08:00

Slide della presentazione di PTK alla conferenza del Department of Defense a Saint Luis svoltasi nel Gennaio 2008.

The PTK Official Site (Beta) is now online

2008-02-04T07:08:00.000-08:00

Il sito web del progetto PTK, The alternative Sleuthkit Interface, è adesso online. PTK è la nuova interfaccia opensource per lo Sleuthkit ed è in fase di testing. Come è noto, PTK - The Alternative Sleuthkit Interface - è stata presentata alla DoD CyberCrime Conference di St Louis negli Usa (Dipartimento della Difesa degli Stati Uniti). Si tratta di un progetto opensource destinato a diventare uno dei più importanti della scena internazionale, ideato e sviluppato dal team di IRItaly, che vede al suo interno, oltre al Founder Dario Forte, alcuni studenti (Graduate and Post Graduate) del Polo di Crema. Tuttavia, per consentire una diffusione anche nel nostro paese, il progetto IRItaly e DFLabs organizzano un Webcast in diretta per il giorno 20 febbraio 2008 alle ore 17. In questo Webcast sarà presentato PTK nella sua totalità, le novitè rispetto ad Autopsy, quelle architetturali ed il progetto in generale. Sarà possibile fare domande in chat in diretta al team di progetto sugli sviluppi presenti e futuri, e proporsi come sviluppatore/tester. Per seguire il webinar gratuito è sufficiente mandare una mail a: ptk at dflabs dot com.

Grande successo alla DoD Conference08 per PTK

2008-01-21T01:09:00.000-08:00

Sala piena (circa 200 persone) per la breakout session di presentazione di PTK la nuova interfaccia per lo sleuthkit presentata da IRItaly Project alla DoD Cybercrime Conference di St Louis (Stati Uniti). Durante la sessione sono state presentate le feature di PTK e raccolte le adesioni (un numero altissimo, da tutto il mondo) all'alpha e beta testing. Ricordiamo che PTK sarà presentato in italia con il Webex del 20 febbraio 2008. Per iscriversi scrivete pure a ptk at dflabs dot com.

PTK Webex di presentazione il 20 febbraio 2008

2008-01-10T02:55:00.000-08:00

Come è noto, PTK - The Alternative Sleuthkit Interface - sarà presentatoalla DoD CyberCrime Conference di St Louis negli Usa. Tuttavia, per consentire una diffusione anche nel nostro paese, il progetto IRItaly e DFLabs organizzano un Webcast in diretta per il giorno 20 febbraio 2008 alle ore 17. In questo Webcast, ovviamente gratuito, sarà presentato PTK nella sua totalità, le novità rispetto ad Autopsy, quelle architetturali ed il progetto in generale. Sarà possibile fare domande in diretta al team di progetto sugli sviluppi presenti e futuri. I posti sono limitati, per iscriversi e ricevere l'invito elettronico al webcast scrivete a ptk at dflabs dot com.

Nuovi Security Training per il 2008

2007-12-20T04:01:00.000-08:00

Di seguito alcune date sui prossimi cicli di Training per la Sicurezza tenuti dai docenti di IRItaly Project e organizzati da DFlabs:

Crema

14/01/2008 Introduzione a Linux Crema (in italiano)
15/01/2008 - 15/01/2008 Iritaly Base (in italiano)
17/01/2008 - 18/01/2008 Iritaly Avanzato (in italiano)
22/01/2008 - 23/01/2008 Computer Forensic Foundamentals (in italiano)
24/01/2008 - 25/01/2008 Incident management (in italiano)

Computer Forensc Foundamentals

22/01/2008 - 23/01/2008 Milano (In italiano)
21/04/2008 - 22/04/2008 Roma (In italiano)
14/07/2008 - 15/07/2008 Milano (In italiano)
24/11/2008 - 25/11/2008 Milano (In italiano)

Incident management

24/01/2008 - 25/01/2008 Milano (In italiano)
23/04/2008 - 24/04/2008 Roma (In italiano)
16/07/2008 - 17/07/2008 Milano (In italiano)
26/11/2008 - 27/11/2008 Milano (In italiano)

Iritaly

25/03/2008 - 26/03/2008 Milano (In italiano)
03/06/2008 - 04/06/2008 Roma (In italiano)
15/09/2008 - 16/09/2008 Milano (In italiano)
09/12/2008 - 10/12/2008 Milano (In italiano)

Iritaly Advanced

27/03/2008 - 28/03/2008 Milano (In italiano)
05/06/2008 - 06/06/2008 Roma (In italiano)
17/09/2008 - 18/09/2008 Milano (In italiano)
11/12/2008 - 12/12/2008 Milano (In italiano)

Feedback su DIM-AM

2007-12-20T03:01:00.000-08:00

Il team di IRItaly ringrazia i numerosissimi lettori del blog ed utenti del progetto per aver manifestato il loro interesse per la partecipazione al beta test di PTK ed il nuovo modulo DIM-AM. In particolare, ci sono stati segnalati alcuni presunti issues relativi allo strumento DIM AM che abbiamo proceduto a verificare, per i quali pubblichiamo i nostri feedback ufficiali. Invitiamo chiunque fosse interessato a scriverci. Sarà un piacere per noi rispondere ai feedback.

Problema segnalato:

"Nei test da me svolti abilitare questa opzione su dispositivi flash ha causato problemi al programma che, pur non bloccandosi, non proseguiva nelle operazioni, nè generava alcun messaggio di errore."

Risposta:

Per quanto riguarda l'opzione di forzare la lettura sui settori danneggiati, essa non funziona sulle memorie flash in quanto lo strumento di base (DCFLDD) non funziona su questi supporti. La scelta di sviluppo di DIM-AM è stata quella di aggirare questo problema di DCFLDD. Le memorie flash infatti non sono uguali a un disco rigido nell'architettura dell'hardware e di conseguenza occorre una gestione differente demandabile unicamente all'utente. Il programma DIM-AM spiega all'utente come comportarsi, con un warning prima di procedere (Vds figura sotto)

Problema segnalato:

"utilizzando il tool sotto MS Windows 2000, non viene visualizzata la chiave usb, benché venisse correttamente riconosciuta dal sistema;"

Feedback:

DIM-AM, come specificato nella documentazione tecnica descrittiva e di test pubblicata sui vari siti DFLabs e IRItaly a inizio novembre, non supporta Windows 2000. E'stato sviluppato e testato - con riferimento al protocollo CFTT - per Windows XP e Windows Vista, in quanto Win2000 non è più supportato dal produttore e il trend della digital forensics è quello di abbandonare definitivamente questa piattaforma per l'effettuazione delle analisi. I test sono stati già pubblicati sul sito di DFLabs e IRitaly a novembre 2007 e sono comunque reperibili qui.

Problema segnlatato.

"Nell’immagine relativa al riconoscimento dei device si può notare come alla destra compaia indicata l’assenza di tali dispositivi tra la workstation ed il device, se il tool riconosce la presenza, o meno, di tali dispositivi, è un peccato non la riporti all’interno dei log."

Feedback:

Invitiamo il cortese utente a verificare quanto da lui affermato. DIM-AM, come testimoniato dal documento di test, logga la presenza dei dispositivi: Wiebetech Tableau e ICS. Il loggare la presenza (e non il contrario) fa parte delle normali practices di programmazione, finalizzate all'esclusione dei falsi negativi/positivi.

Problema segnalato

" l’individuazione di Cryptocat (facente parte del pacchetto) come virus da parte di ZoneAlarm."

Feedback:

Per quanto riguarda CryptCat viene riconosciuto come hacker tool non come virus, in quanto come è noto da tempo cryptcat è uno swiss knife che permette di fare un po' di tutto sui protocolli TCP/IP e viene spesso usato e installato insieme a dei rootkit ma NON è un virus.
Ad ogni modo abbiamo messo un avviso sul sito a riguardo.

Grazie ancora a coloro che hanno spedito le loro segnalazioni e i loro commenti. Buon lavoro a tutti.

DIM - AM Free tool available

2007-12-17T03:32:00.000-08:00

DFLabs has just released a free available version of DIM-AM, the acquisition module of Digital Investigation Manager. The module, which is part of the whole DIM Package, can be used for imaging media, using DD and several enhanced features. You may dowload the tool from http://www.iritaly-livecd.org/dim-am.htm

The PTK Tool Beta Testing Program

2007-12-17T03:27:00.000-08:00

The team at IRItaly Project, is going to finalize a research project related to the Sleuthkit. Basically speaking, IRItaly developed a new interface for the sleuthkit, with the goal of speeding the operations and achieving better performance and easyness of use. For this reason the team is looking for collegues interested in alpha and beta testing program, which will start Q1 2008. The PTK (this is the name of the tool) is going to be presented at DOD Cybercrime 2008, and then the opensource will be released (Q2 2008). It will be the first of 3 sleuthkit related projects that we will complete within 2008.
If you are interested please drop a line to info at dflabs dot com.

1st CALL FOR PAPERS. - CISIS'08

2007-12-11T05:13:00.001-08:00

IRITaly Project è nel Program Commitee della Conferenza CISIS.

International Workshop on Computational Intelligence in Security for Information Systems (CISIS'08)

http://www.cisis2008.org

Genova(Italy) Jolly Hotel Marina, Porto Antico

October 23-24th, 2008

Organized by:

SEA Lab (http://www.sealab.dibe.unige.it/),University of Genoa, Italy

GICAP (http://www.ubu.es/investig/grupos/ing_const/lsi-1/index_eng.html),
University of Burgos, Spain

DFLabs Annuncia IncidentManager, la nuova applicazione per la gestione degli incidenti informatici all'interno delle realtà aziendali.

2007-11-27T08:48:00.000-08:00

DFLabs Data Security, la divisione tecnica di DFlabs specializzata in Servizi Professionali e sviluppo soluzioni per la sicurezza, ha appena annunciato il rilascio di DFLabs Incident Manager, la soluzione integrata per la gestione completa degli incidenti di sicurezza IT e Corporate. Si tratta di una soluzione web based che offre la possibilità di gestire l'intero workflow dell'incidente di sicurezza, dall'apertura alla chiusura, con oltre settanta tipologie di informazioni differenti, utili sia agli operatori di prevenzione, agli auditor, al fraud management, e i rispettivi supervisori. DFLabs Incident Manager, consente di generare report di incidente, continuamente aggiornabili in real time, e compatibili con i più rigorosi standard internazionali, e rende possibile anche un'attenta analisi economica dei danni apportati dall'incidente e degli assets aziendali coinvolti. "In questo momento storico l'esigenza di gestire i dati sugli incidenti di sicurezza è un'esigenza primaria nel mondo enterprise" ha dichiarato Dario Forte, Ceo e Founder di DFlabs." DFlabs incident manager è frutto della nostra esperienza diretta a livello worldwide nel settore degli incidenti informatici. La soluzione consente il tracking totale degli incidenti di sicurezza, fornendo strumenti infungibili di valutazione sia agli operatori sia al management." Incident Manager ha numerose features innovative, tra cui: Creazione di vari report contenente tutte le informazioni relative all'incidente, inclusi i costi e il danno sostenuto, nonchè la timeline automatica degli eventi. con Incident Manager, inoltre, è possibile una ricerca avanzata tra casi e incidenti, con la possibilità di scegliere fra numerosi parametri. La Dahsboard del prodotto, inoltre contiene il riepilogo continuo delle principali informazioni legate agli incidenti più critici, con alta possibiltà di customizzazione. Tutte le operazioni sono protette da crittografia e role based authentication, rendendo lo strumento protetto da eventuali tentativi di intrusione. Con DFLabs Incident Manager il mondo Enterprise avrà a disposizione una piattaforma integrata e distribuita, per la gestione del workflow e delle informazioni in caso di incidente di sicurezza, fino al crisis management. Lo strumento è stato interamente sviluppato in house, ed è frutto dell'esperienza pluriennale dell'azienda nel settore della gestione incidenti critici, ed è immediatamente disponibile. Per ulteriori informazioni è possibile contattare info@dflabs.com

Terminato il processo di Testing di DIM - AM

2007-11-12T00:28:00.000-08:00

DIM-AM è il nuovo modulo di acquisizione contenuto in Digital Investigation Manager. Il team di DFLabs ha appena concluso il processo di testing dello strumento secondo gli standard di verifica del Computer Forensic Tool Testing Program organo del NIST. I risultati sono liberamente disponibili in formato pdf.

IODEF diventa RFC

2007-11-08T02:10:00.000-08:00

IODEF, lo standard dell’INCH working group diventa RFC. Dopo circa tre anni di lavoro, il gruppo INCH della Internet Engineering Task Force è giunto all’approvazione da parte della IETF dello standard IODEF. DFlabs e il progetto IRItaly hanno attivamente partecipato ai lavori, con le proprie implementazioni di DIM (Digital Investigation Manager) e del nuovo prodotto DFLabs Incident Manager, insieme con il CERT CC e il MIT Lincoln Lab. Di seguito l’estratto del comunicato stampa.

[October 11, 2007] “The Incident Object Description Exchange Format.” Edited by Roman Danyliw (CERT Program), Jan Meijer (SURFnet bv), and Yuri Demchenko (University of Amsterdam). IETF Internet Draft. Produced by members of the IETF Extended Incident Handling Working Group. See the extracted XML Schema, and I-D Tracker. Status: Approved by the IESG as a Proposed Standard. July 31, 2007. 96 pages. The IESG has announced the approval of “The Incident Object Description Exchange Format” specification as an IETF Proposed Standard. This document has been produced by members of the IETF Extended Incident Handling Working Group. There was consensus in the WG to publish this document, though Working Group has now closed. There are seven implementations of the IODEF that provided useful feedback on the completeness and quality of the specification. These implementations come from CERT-Verbund (SIRIOS), Cooper-Cain Inc.* (Anti-Phishing WG), Cyber Solutions Inc.*, DFLabs*, eCSIRT.net, MIT Lincoln Labs*, and NTT*.

IRItaly presente alla DoD Conference 2008 di S.Louis

2007-09-21T01:51:00.000-07:00

Con uno speech dal titolo PTK, an alternative sleuthkit interface, Dario Forte presenterà una delle realizzazioni del Progetto IRItaly, che sarà rilasciata in occasione della DoD CyberCrime Conference 2008. Organizzata dal Dipartimento della Difesa degli Stati Uniti , la DoD cybercrime vede Dario Forte e il progetto IRItaly partecipare come relatori per la terza volta in quattro anni. Lo speech tratterà la nuova interfaccia che è stata disegnata per SleuthKit, che sarà tra laltro aggiunta alla prossima release del cdrom di IRItaly Project.

FTK 2.0 In Anteprima Nazionale a Milano

2007-09-18T01:04:00.000-07:00

Nell’ambito del DFLabs Forensic Day, che si terrà a Milano i giorni 25 e 26 settembre, sarà presentata, in anteprima nazionale, la nuova versione di Accessdata FTK 2.0, la nuova generazione di strumenti di Digital Forensics, basata su Db Oracle ed engines evoluti. Il Team di DFlabs effettuerà una demo articolata, unitamente alla presentazione di nuove tecnologie per il CodeBreaking (Riservato alle Forze dell’Ordine) e alla presentazione della nuova workstation mobile ICS Roadmasster III. In quella sede, inoltre, saranno presentati i nuovi training certificati AccessData in Italiano.

Corsi Accessdata In Italiano

2007-09-13T03:45:00.000-07:00

Si segnala che DFLabs Italy organizzerà, con inizio l’ultimo quarter 2007, una serie di corsi per la computer forensics e l’incident response. Per la prima volta in Italia, il personale specializzato dell’azienda terrà i corsi in italiano. Degno di nota anche il nuovo training su Windows Vista Forensics. Di seguito alcune date:

Ottobre

9-10-11 AccessData Bootcamp (A Crema)
16-17-18 AccessData Windows forensic - Corso avanzato(A Crema)

Sono possibili convenzioni con Forze dell’ordine e Studenti. Inoltre DFLabs ha in atto convenzioni con gli hotels e i ristoranti alla sede di Crema (CR).

Per qualsiasi info: 0373 630145

Forensic Day a Milano

2007-08-27T00:19:00.000-07:00

DFLabs italy organizza per i giorni 25 e 26 settembre 2007 a Milano, un incontro full time gratuito per aggiornare gli operatori della Digital Forensics sulle novità tecnologiche. Saranno presentati i nuovi prodotti Accessdata, Guidance, ICS, Tableau e tantissimi altri. Per ulteriori info consigliamo di contattare: info at dflabs dot com.

I posti sono limitati.

Anticipazioni dal DFRWS

2007-08-13T05:17:00.000-07:00

Il Digital Forensic Research Workshop è una delle conferenze più accreditate del settore. Si svolge annualmente negli Stati Uniti ed è nata concettualmente nel 2002, anno in cui il Governo Americano ha intrapreso un’opera di supporto finanziario mediante il laboratorio dell’aviazione militare. A partire da quel tempo, in cui si prestava la massima attenzione a problematiche di rintraccio delle connessioni di rete e preservation (la fase in cui i dati acquisiti dovrebbero essere mantenuti integri) , in questo momento si guarda a tematiche sicuramente derivate dagli argomenti appena citati, ma sicuramente rappresentative di una evoluzione dello stato dell’arte destinato più alla pratica che alla teoria. Dario Forte è nel Program Tech Comm. Il programma della confrerenza ha un orientamento diretto ai seguenti settori investigativi:

la gestione dei cosiddetti “volatile data” dati che, per la loro conformazione e le loro caratteristiche, non sono riproducibili, non lasciano tracce durevoli e che, quindi, devono essere acquisite con la massima prontezza ed efficacia.
I log files e la loro acquisizione, correlazione e utilizzo, sia durante un’investigazione sia durante un processo di gestione incidenti di sicurezza.
i processi di data carving, cioè le attività di ricerca ed estrazione di dati, più o meno strutturati, che possono essere utili ai fini delle indagini, inclusa l’interazione con i file system e i dati a basso livello, con particolare riferimento sia a formati particolari di files, sia problematiche di tipo fisico e legate alle procedure di imaging cioè di processi di copia “forense” delle informazioni contenute nei vari media.

I “volatile data”

La RFC 3227, contenente le linee guida sulla gestione delle digital evidences, è uno dei documenti di riferimento della comunità scientifica sulla gestione delle prove digitali. Si tratta di un documento che si avvia alla revisione ciclica, ma che è estremamente attuale e utilizzato anche dalle procedure derivate delle associazioni di settore e finanche, in alcuni tratti, dagli standard ISO sul security management. La RFC 3227 dice che, nella fase di preservation, si deve procedere all’acquisizione dei dati a partire dai “più volatili” per arrivare ai “meno volatili”: i primi vengono chiamati “volatile data”, mentre i secondi vengono denominati “data at rest”. Nel mondo reale, cioè in quello dove sussistono esigenze di incident response e di computer forensics da conciliare con quelle aziendali di mitigazione del rischio, quindi di maggiore flessibilità, il problema viene affrontato con soluzioni di live response and analysis, peraltro condivise in sede giudiziaria. Tuttavia, la comunità scientifica ha più volte manifestato l’esigenza di esplorare comunque lo spettro delle possibilità di garantire al massimo l’integrità di base dei dati stessi. Nella maggior parte dei casi, i dati volatili risiedono in RAM. E quando c’è l’esigenza di acquisire questi dati, si opera allo stato con strumenti che, comunque, accedono evidentemente alla RAM medesima, modificandone lo stato iniziale. Più volte, specialmente nelle aule giudiziarie, si è provato, in maniera a dir poco audace, a smontare a priori il risultato degli interventi di preservation sulla RAM stessa. Tuttavia, nelle stesse aule è stato dimostrato che, una volta identificati i punti ove il tool di imaging abbia “lasciato traccia” , non si può escludere a priori la genuinità della RAM copiata. A tal proposito, la ricerca si è indirizzata in due direzioni, una relativa ad un modello di estrazione dati ed analisi, e l’altra correlata ad un possibile strumento di acquisizione ad impatto zero.
Dal punto di vista della modellazione, il Dfrws vede proporre un approccio basato sull’analisi segmentata dello stack, in grado di effettuare un raffronto strutturato tra una baseline predefinita (risultato di un’analisi fondamentale) e le possibili variazioni intervenute durante una particolare operazione. Questo modello ha un’implementazione la quale è stata testata in ambiente Windows, fornendo interessanti risultati. Si tratta però di una ricerca di tipo sperimentale, diversa da Body Snatcher, un tool di acquisizione consistente in un vero e proprio micro sistema operativo bi componente in grado di effettuare l’immagine della memoria con un impatto irrilevante sulla sua genuinità. I creatori di Body Snatcher, infatti, partendo dalle due esigenze fondamentali della computer forensics (Fidelity e Reliability) evidentemente collegate alle esigenze di integrità. Gli studi e i test effettuati confermano la potenziale applicabilità di questa ricerca anche in ambiti più estesi, superando i limiti pratici delle acquisizioni della memoria basate su hardware dedicato, tra l’altro proposte nel 2002.

La gestione dei log files

La ricerca underground sta proponendo delle tematiche di estremo interesse relative alla possibilità di effettuare malicious injection sui dispositivi di logging. Esse presumono l’esistenza di vulnerabilità strutturali dei sistemi di generazione dei log stessi, pertanto si parla di tematiche di sicurezza ricorrenti e ben note. Tuttavia, mentre si parla ancora del rapporto tra SIM, correlazioni e forensics, la ricerca si sta concentrando su tre aspetti interessanti. Il primo riguarda Windows Vista, il secondo l’analisi di sorgenti multiple per la gestione della ricostruzione degli eventi e il terzo l’analisi degli eventi su dispositivi “alternativi” al mondo IT.
Microsoft Vista è sicuramente uno dei sistemi operativi più studiati in questo periodo. Sicuramente lo è per le features crittografiche che, sulla carta, preoccupano gli investigatori, ma lo è anche per i nuovi formati di log, diversi da quelli dei sistemi operativi precedenti della famiglia Windows, ma anche con molte caratteristiche in più. Iniziano ad intravedersi le prime applicazioni non proprietarie per la lettura e l’interpretazione dei log files, nonché le prime definizioni tassonomiche. Stiamo parlando di un nuovo ruolo di XML, sempre più utilizzato, anche da progetti portati avanti dalla Internet Engineering Task Force, quali il famoso IODEF, per l’interscambio in tempo reale delle informazioni legate alle intrusioni e alle violazioni di sicurezza in generale. Il “problema” più importante, comunque, riguarda il formato “non in chiaro” dei log di vista, che richiedono un viewer dedicato, che dal punto di vista della computer forensics potrebbe creare quantomeno un dibattito sulla riproducibilità. Il secondo tema che viene affrontato riguarda la correlazione tra vari log finalizzata al mantenimento della loro integrità e alla definizione della timeline. Con quest’ultimo termine si indica la ricostruzione del vari eventi secondo una sequenza temporale coerente, al fine di determinare un possibile scenario di quanto accaduto. La tendenza è quella di utilizzare i log dei vari servizi di sicurezza (es. IDS) con i syslog e i trace di rete, correlandoli tra loro secondo degli algoritmi sperimentati. Dal punto di vista dei sistemi operativi già largamente utilizzati da aziende e istituzioni segnaliamo FixEvt - A Tool for Automated Log Repair, uno strumento che si propone di effettuare una ricognizione e ripristino dei files di log corrotti, sotto XP/2003, in maniera automatizzata e con un buon range di affidabilità.

Notevole interesse, infine, sta suscitando il logging e la relativa analisi degli eventi generati da dispositivi che non siano appartenenti strettamente alla categoria IT ma che comunque siano in grado di generare trace. Stiamo parlando di dispositivi di sicurezza fisica (per esempio controllo accessi alle facilities) e inclusi in tecnologie di consumo, come per esempio gli antifurti o le scatole nere delle autovetture. Si tratta di fonti di prova molto importanti, da utilizzare evidentemente per ricostruire incidenti (non informatici) e simili circostanze. Uno dei paper che sono stati sottoposti all’esame del comitato tecnico ha proprio riguardato le modalità di logging sicuro degli eventi, nonché le modalità di conservazione e di analisi di log medesimi. Trattandosi di vere e proprie scatole nere, quindi, esistono dei metodi di estrazione e di gestione dei dati da esse risultanti. Anche qui si inizia a parlare di standardizzazione, anche se, in realtà, molti ritengono già sufficiente il formato syslog “puro” per raggiungere l’obiettivo.

L’interazione con i file systems

Di sicuro interesse, infine, la sessione relativa ai file systems, e alle problematiche ad essi correlate sia in ordine alle attività di recupero dati, sia di carving, sia addirittura di imaging. Qui la ricerca ha dimostrato una certa lungimiranza, con particolare riferimento all’utilizzo di tecnologie già disponibili per altri scopi per l’effettuazione di indagini approfondite e distribuite.
In questo momento, infatti, si parla sempre più insistentemente di Massive Threading: cioè di effettuazione di thread investigativi e di ricerca dati in parallelo, che evidentemente richiedono una concreta ed esponenziale potenza di calcolo. La comunità scientifica ritiene che le cosiddette GPU – Graphical Processing Units, per intenderci la classe a cui appartiene NVIDIA G80, siano in grado di risolvere una serie decisamente ampia di problemi, che vanno dalla distributed forensics fino alle attività di decription e code breaking, le cui implementazioni, tra l’altro, sono già disponibili in commercio per clienti accreditati. È opinione comune, quindi, che sia la ricerca sia la comunità degli operativi saranno in grado di sfruttare questo tipo di potenza di calcolo in maniera estesa, altresì con un potenziale risparmio in termini di costi.
Se l’utilizzo delle GPU è comunque correlato alla fase di elaborazione e di messa in opera di ricerche già individuate, sarà infine utile sapere che sono in fase di testing dei nuovi strumenti di data carving e di analisi documentale basati su pattern matching. Questa nuova categoria di strumenti dovrebbe essere in grado di gestire non solo l’analisi forense dei contenuti ma anche processi e tecniche alternative che abbiamo già citato da queste pagine, una per tutti la e discovery.

Questa è solo una breve anticipazione di quello che sta per succedere in queste ore negli USA: Vi terremo aggiornati.

Hard Time For Forensic Tools

2007-08-09T13:22:00.000-07:00

Gli ultimi 10 giorni sono stati estremamente "caldi" per molti strumenti di digital investigation. in particolare, sono state segnalate alcune vulnerablità sia su prodotti commerciali (come guidance encase) sia su prodotti opensource.

Di seguito i dettagli

Encase:

CVE-2007-4194 (v 5.0)
CVE-2007-4201 (v 6.2 and 6.5)
CVE-2007-4202 (v EEE 6)

The Sleuth Kit (v <2.09):

CVE-2007-4195
CVE-2007-4196
CVE-2007-4197
CVE-2007-4198
CVE-2007-4199
CVE-2007-4200

I problemi sembrano maggiormente relativi al parsing di vari files, sia appositamente malformati sia volutamente creati all'interno di immagini FS.

Per quanto riguarda Guidance Software, il vendor ha pubblicato la sua risposta ufficiale qui
, mentre per quanto riguarda Sleuthkit, probabilmente Brian Carrier dirà qualcosa in merito al Dfrws o sul sito ufficiale (al momento in cui scriviamo non c'è nulla); ma conoscendolo non credo che sarà preoccupato più di tanto. Si metterà al lavoro e cercherà di patchare in fretta (ove necessario e possibile).

Desideriamo focalizzare l'attenzione dei nostri lettori su alcune riflessioni:

Lungi dal proteggere Guidance, ma alcune delle vulnerabilità segnalate alla BH 07 sono si possibili ma ogni forensic examiner che si voglia definire tale dovrebbe essere in grado di gestire e controllarle. Inoltre, una di esse presume addirittura l'esistenza di una connessione su network pubblico della forensic workstation, cosa evidentemente fuori standard.
L'esistenza di un così importante numero di segnalazioni di sicurezza, anche per gli strumenti Open, evidenzia che la debacle opensource Vs commercial forensics non può essere basata sull'intrinseca sicurezza di una categoria piuttosto che dell'altra. E' vero che in teoria l'Opensource può essere patchato più velocemente, ma chi conosce davvero i processi di validazione dei forensic tools in generale e la gestione del core di sleuthkit fatta dal suo autore sa che il concurrent engineering è solo teoria in questo caso.
Sono in molti ad averci chiesto la nostra opinione sull'argomento. La nostra posizione è che sia la fase di preservation (e quindi l'imaging e i formati correlati) a dover essere open, o quantomeno non vincolata ai vendor/formati proprietari, salvo casi eccezionali. Questo dovrebbe consentire un riscontro più agevole dei risultati investigativi, a prescindere dallo strumento di analisi utilizzato. In pratica: agendo su un formato open e magari validato (es. dd, Aff si vedrà) si potrà ragionare dopo sui findings e riscontrare questi ultimi in maniera incrociata. Si tratta comunque di un principio quasi sempre applicabile nell'analisi postmortem, un po' meno su quella live.

Volatile Data e IRItaly

2007-08-06T02:14:00.001-07:00

Nel mese di settembre IRItaly rilascera' un paper sull'investigazione relativa ai volatile data. Il paper, che sarà prossimamente presentato ad una conferenza scientifica internazionale, avrà come argomento l'acquisizione e la gestione investigativa del cosiddetto "diskless storage", con esempi pratici su memorie non convenzionali.

Validazione NIST per Tableau Write Blocker

2007-07-30T05:55:00.000-07:00

Nonostante ci sia voluto un pò di tempo, un numero sempre maggiore di dispositivi Tableau Write Blocker è stato testato dal U.S. National Institute of Standards & Technology (NIST). I risultati di questi test, pubblicati dal Dipartimenti di Giustizia Americano, sono reperibili qui.

The HandBook of Computer Networks

2007-07-30T04:01:00.001-07:00

La wiley and sons ha appena annunciato il rilascio dell' Handbook in oggetto. Circa duemilacinquecento pagine di contenuti peer reviewed. Cento autori, 1000 reviewers. Un' opera colossale che, dopo ³the handbook of computer security, vede Dario Forte pubblicare un capitolo sull' Impiego dei sistemi operativi Windows. Per ulteriori informazioni cliccare qui. (link http://eu.wiley.com/WileyCDA/Section/id-305686.html)

Introduzione alla Virtualizzazione: Pro Contro e Security

2007-07-19T02:43:00.000-07:00

Durante un recente convegno svoltosi negli Usa, uno dei relatori ha sollevato un’interessante questione relativa alla percentuale, rispetto al totale degli ambienti IT con cui si interagisce, delle macchine virtuali. Questo, in realtà, a parte le più o meno condivisibili valutazioni del mercato, non è di fatto un dato ancora certo, in quanto non è dato sapere il numero esatto delle virtual machines utilizzate, incluse quelle basate su opensource.

Sul sito di IRITaly è stato pubblicato un nuovo paper relativamente a questi argomenti.

FastBloc Field Edition Forensically Validated by NIST

2007-07-04T08:35:00.000-07:00

Guidance Software annuncia oggi che National Institute of Standards and Technology (NIST) ha terminato i test del dispositivo write blocker FastBloc(r) FE.

Ulteriori informazioni qui

IRItaly presente al Ciclo di Seminari "Sicurezza delle Informazioni" presso l'Università di Genova

2007-05-18T07:04:00.000-07:00

Comunichiamo che IRItaly sarà presente al Ciclo di Seminari "Sicurezza delle Informazioni" organizzato dall' Ordine degli Ingegneri Provincia di Genova, il giorno 10 luglio 2007 presso la Sala Convegni dell'Ordine, Piazza dellaVittoria 11/4 dalle ore 17.00 alle 19.00. La relazione avrà come Titolo: "Il Trend degli incidenti di sicurezza e della Digital Forensic: benchmark internazionale e best practices." Lo speech, di scenario, si propone di effettuare un'analisi degli incidenti di sicurezza più rilevanti dell'ultimo semestre, nonché delle relative origini e metodiche di reazione, con particolare riferimento a: aspetti organizzativi, di metodo e tecnologici, con uno sguardo allo stato dell'arte della ricerca scientifica. L'ultima parte sarà relativa all'illustrazione del progetto IRItaly (incident response italy), giunto ormai al quarto anno di attività.

IRItaly alla Abi security conference di Roma

2007-05-17T00:34:00.000-07:00

Per coloro che fossero interessati, vi comunichiamo che Dario Forte, Founder del Progetto IRItaly sarà presente, in qualità di relatore presso l’Associazione Bancaria Italiana, in occasione della Conferenza Nazionale sulla Sicurezza, che si svolgerà a Roma il giorno 22 maggio 2007. La relazione avrà come oggetto il trend della gestione incidenti nel mondo bancario. In quella sede saranno illustrati alcuni dei progetti più significativi che IRItaly sta portando avanti nel 2007.

Corsi ROMA

2007-05-11T03:40:00.000-07:00

Si terranno a Roma nel mese di Maggio i seguenti corsi:

IRItaly BASE (22- 23 Maggio)
IRItaly ADVANCED (24 - 25 Maggio)
Computer Forensic Fundamentals (15 - 16 Maggio)
Incident Management (17 - 18 Maggio)

Per chi fosse interessato contattare info@iritaly.org

Faq Sito IRItaly

2007-05-11T03:38:00.000-07:00

Sul sito http://www.iritaly-livecd.org/Faq.htm è stata aggiunta la sezione FAQ con le prime domande tratte dal forum.

IRITaly e Scuola addestramento Polizia Cesena

2007-05-11T03:30:00.000-07:00

Si è concluso da poco il primo dei due corsi alla Scuola di Addestramento della Polizia di Cesena. Ringraziamo la scuola per la cordialità e l'interesse espresso dai partecipanti e facciamo i nostri complimenti alla struttura delle aule corsi. Il prossimo corso si terrà sempre nella stessa sede i giorni 21 e 22 Maggio 2007.

IRItaly free training

2007-04-30T08:38:00.000-07:00

Nell'ottica di sensibilizzazione della comunità, IRItaly project continua il ciclo di training riservato alle Forze dell'Ordine. Nel mese di Maggio ci saranno due cicli di training avanzato sui documenti e sui live CD, nonchè il test dei nuovi strumenti di log analysis che saranno tra poco rilasciati. Il training avrà luogo a Cesena.

Disponibili 2 Posti per il Tool Validation Program

2007-04-30T08:36:00.000-07:00

Nel Lab Shannon stiamo approntando, nell’ambito del progetto IRItaly, un set di validazione strumenti software. Detto set - per iniziare - avrà come oggetto:

i tool di imaging contenuti in IRItaly Live Cd (ove già non validati da enti terzi)
FTK Imager
Encase V6

I requisiti per partecipare al progetto sono

Conoscenza dei protocolli di testing e almeno di un linguaggio di programmazione.
Conoscenza approfondita delle tematiche di digital forensics.
Conoscenza dell’inglese tecnico scritto
Disponibilità a lavorare in gruppo
Curriculum orientato alla sicurezza con voti superiori al 25/30 (per gli studenti).

Per ulteriori informazioni contattare info at iritaly dot org

IRItaly Project: Validazione Forensic Tools

2007-04-30T08:31:00.000-07:00

Nell'ambito del progetto IRItaly, è in fase di start up il processo di test di lettori “forensi” di schede SIM. Il progetto sarà gestito direttamente dal team, con l’ausilio del personale senior del lab shannon.

Parte del processo è riservata a studenti e ricercatori del DTI. Tuttavia vi sono degli slot disponibili per coloro che avessero interesse a partecipare, previa valutazione di CV e altre info.

Gli skills richiesti per dette attività sono:

Conoscenza dei protocolli di testing
Conoscenza approfondita delle tematiche di digital forensics.
Conoscenza dell’inglese tecnico scritto
Disponibilità a lavorare in gruppo
Curriculum orientato alla sicurezza con voti superiori al 25/30 (per gli studenti).

Per qualsiasi info: info at iritaly dot org

Aperto il Blog IRitaly

2007-03-09T10:19:00.000-08:00

Benvenuti al Blog di IRitaly qui potrete trovare e/o richiedere informazioni circa le attività del progetto IRitaly e non solo...