Comments on: Test di Computer Forensics #2: strumenti o competenza? http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-2-strumenti-o-competenza/ Sto lavorando sodo per preparare il mio prossimo errore (B. Brecht) Sun, 08 Jan 2012 16:55:31 +0000 hourly 1 http://wordpress.org/?v=3.3.1 By: Giancarlo http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-2-strumenti-o-competenza/comment-page-1/#comment-2235 Giancarlo Mon, 26 Nov 2007 09:52:46 +0000 http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-2-strumenti-o-competenza/#comment-2235 Come profano assoluto della materia (alle spalle ho solo un mese di harvesting di informazioni online sulla CF) ho trovato l'esercizio facilissimo. Ma aggiungo una provocazione alla provocazione... ("Ma anche no", come direbbe Crozza-Veltroni) Essendo un newbie assoluto alla materia, sono arrivato alla soluzione proprio perchè non ho ancora avuto l'opportunità e il tempo materiale per poter lavorare a lungo sui famosi tools citati. Credo che in tema di CF è necessario che l'investigatore mantenga diversi approcci: uno professionale, portando le proprie esperienze, uno tecnico, grazie ai tool studiati ed usati, ed infine uno squisitamente personale, che consiste nel mantenere la propria mente elastica e ben disposta all'imprevisto. Per questo caso mi sono rivolto esclusivamente al buonsenso (si trattava di analizzare due file!) e ai miei anni buttati sull'editing di immagini con Photoshop, che mi hanno aiutato a risolvere l'equazione, traducendo i numeri in coordinate. (Giancarlo Giustini - Laurendo nel Corso di Laurea Specialistica in Ingegneria Informatica - Univ. di Modena) Come profano assoluto della materia (alle spalle ho solo un mese di harvesting di informazioni online sulla CF) ho trovato l’esercizio facilissimo.
Ma aggiungo una provocazione alla provocazione… (“Ma anche no”, come direbbe Crozza-Veltroni)
Essendo un newbie assoluto alla materia, sono arrivato alla soluzione proprio perchè non ho ancora avuto l’opportunità e il tempo materiale per poter lavorare a lungo sui famosi tools citati. Credo che in tema di CF è necessario che l’investigatore mantenga diversi approcci: uno professionale, portando le proprie esperienze, uno tecnico, grazie ai tool studiati ed usati, ed infine uno squisitamente personale, che consiste nel mantenere la propria mente elastica e ben disposta all’imprevisto.

Per questo caso mi sono rivolto esclusivamente al buonsenso (si trattava di analizzare due file!) e ai miei anni buttati sull’editing di immagini con Photoshop, che mi hanno aiutato a risolvere l’equazione, traducendo i numeri in coordinate.

(Giancarlo Giustini – Laurendo nel Corso di Laurea Specialistica in Ingegneria Informatica – Univ. di Modena)

]]> By: Nanni Bassetti http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-2-strumenti-o-competenza/comment-page-1/#comment-2186 Nanni Bassetti Thu, 22 Nov 2007 07:48:03 +0000 http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-2-strumenti-o-competenza/#comment-2186 Devo dire che i modi per nascondere le cose sono sempre più fantasiosi !!! :-D A ogni modo, in questo caso c'erano degli indizi, che aiutavano l'investigatore a focalizzare la propria attenzione su quella e-mail: 1) Allegato zippato e criptato 2) Quattro numeri separati da virgole, che apparentemente non significavano alcunchè. 3) Unico file apribile era l'immagine Ci concentra sull'immagine e sul testo dell'e-mail (magari cercando codici, anagrammi, ecc.) e sull'immagine passandola al setaccio con tutti i mezzi...dallo Stegdetect allo Zoom ...et voilà ecco la password! ;-) Devo dire che i modi per nascondere le cose sono sempre più fantasiosi !!! :-D
A ogni modo, in questo caso c’erano degli indizi, che aiutavano l’investigatore a focalizzare la propria attenzione su quella e-mail:
1) Allegato zippato e criptato
2) Quattro numeri separati da virgole, che apparentemente non significavano alcunchè.
3) Unico file apribile era l’immagine

Ci concentra sull’immagine e sul testo dell’e-mail (magari cercando codici, anagrammi, ecc.) e sull’immagine passandola al setaccio con tutti i mezzi…dallo Stegdetect allo Zoom …et voilà ecco la password!
;-)

]]> By: DenisFrati.it » Blog Archive » Tools Vs Competenza/esperienza http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-2-strumenti-o-competenza/comment-page-1/#comment-2174 DenisFrati.it » Blog Archive » Tools Vs Competenza/esperienza Thu, 22 Nov 2007 01:31:36 +0000 http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-2-strumenti-o-competenza/#comment-2174 [...] Pascucci ci propone un nuovo esercizio, in realtà già risolto, che si propone quale spunto per affrontare la [...] [...] Pascucci ci propone un nuovo esercizio, in realtà già risolto, che si propone quale spunto per affrontare la [...]

]]> By: denis http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-2-strumenti-o-competenza/comment-page-1/#comment-2172 denis Thu, 22 Nov 2007 00:22:18 +0000 http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-2-strumenti-o-competenza/#comment-2172 L'esercizio mostra una volta di più che il tool non è sufficiente a risolvere il problema. Serve l'intuito investigativo e, a mio avviso importantissima, l'esperienza. Alcuni giorni fa mi sono ritrovato con altri appassionati di CF ed è stato riproposto il tuo test dello schema trafugato. Qualcuno ci ha provato con Encase ed FTK, impiegando per l'individuazione del file sospetto non meno tempo di quanto impiegai io con Autopsy, trovandosi però con il problema di comprendere che tipologia di file aveva davanti. La mia fortuna fu di aver lavorato con mail ed allegati in precedenza. Mi ero ritrovato a trasformare i file .dbx di outlook express in mbox e ad estrarre gli allegati individuati in seguito a ricerche per keyword. Aver visto in precedenza i file uuencodati, o codificati in base64, (l'esperienza), mi ha permesso di riconoscere il file e comportarmi di conseguenza. Allo stesso modo competenza/esperienza possono aiutare l'investigatore a seguire determinate "piste" e scartarne altre, aver lavorato ampiamente su una certa tipologia di reati, può aiutare l'analista ad individuare (in base ai tool installati sull'host, ai documenti presenti, ecc..) uno scostamento dell'indagato dal profilo tipo e portarlo a porre maggiore attenzione a determinati fattori. Avvicinandomi alla CF mi è parso di riscontrare una certa resistenza al divulgare le informazioni, l'esperienza. Probabilmente è normale. Investo nella mia formazione, acquisto esperienza, sono meglio spendibile sul mercato, perché mai dovrei inflazionarmi condividendo quanto con fatica ho appreso e mi da maggiori chance sul mercato? Probabilmente lavorando in una pubblica amministrazione sono poco attento al problema e l'appartenenza alle FFPP mi porta a reputare la condivisione dell'informazione un mezzo per conseguire il nostro fine: arrivare alla verità (...non iniziate a ridere, su, avrei potuto scrivere "combattere il crimine" e vi scompisciavate :-] ). Ciò non toglie che se si parla, si discute della casistica, ci si aiuta a riconoscere casi simili, giungendo con maggior celerità al reperimento delle prova. L’esercizio mostra una volta di più che il tool non è sufficiente a risolvere il problema. Serve l’intuito investigativo e, a mio avviso importantissima, l’esperienza.
Alcuni giorni fa mi sono ritrovato con altri appassionati di CF ed è stato riproposto il tuo test dello schema trafugato. Qualcuno ci ha provato con Encase ed FTK, impiegando per l’individuazione del file sospetto non meno tempo di quanto impiegai io con Autopsy, trovandosi però con il problema di comprendere che tipologia di file aveva davanti.
La mia fortuna fu di aver lavorato con mail ed allegati in precedenza. Mi ero ritrovato a trasformare i file .dbx di outlook express in mbox e ad estrarre gli allegati individuati in seguito a ricerche per keyword.
Aver visto in precedenza i file uuencodati, o codificati in base64, (l’esperienza), mi ha permesso di riconoscere il file e comportarmi di conseguenza.
Allo stesso modo competenza/esperienza possono aiutare l’investigatore a seguire determinate “piste” e scartarne altre, aver lavorato ampiamente su una certa tipologia di reati, può aiutare l’analista ad individuare (in base ai tool installati sull’host, ai documenti presenti, ecc..) uno scostamento dell’indagato dal profilo tipo e portarlo a porre maggiore attenzione a determinati fattori.
Avvicinandomi alla CF mi è parso di riscontrare una certa resistenza al divulgare le informazioni, l’esperienza. Probabilmente è normale. Investo nella mia formazione, acquisto esperienza, sono meglio spendibile sul mercato, perché mai dovrei inflazionarmi condividendo quanto con fatica ho appreso e mi da maggiori chance sul mercato?
Probabilmente lavorando in una pubblica amministrazione sono poco attento al problema e l’appartenenza alle FFPP mi porta a reputare la condivisione dell’informazione un mezzo per conseguire il nostro fine: arrivare alla verità (…non iniziate a ridere, su, avrei potuto scrivere “combattere il crimine” e vi scompisciavate :-] ).
Ciò non toglie che se si parla, si discute della casistica, ci si aiuta a riconoscere casi simili, giungendo con maggior celerità al reperimento delle prova.

]]>