Ecco la soluzione ed il vincitore del test proposto qualche giorno fa.
Per prima cosa la soluzione: lo schema elettronico c’era, nascosto nel file dict nella directory src/fcrackzip-0.3. Era in formato PDF, codificato in BASE64, il sistema utilizzato per trasmettere allegati nella e-mail.
Di seguito passo a presentare il solutore: il bravissimo Denis Frati, che ha risolto il rompicapo in meno di mezza giornata. Menzione d’onore a Nanni Bassetti, che ci è arrivato poco dopo.
Lascio la parola a loro, nelle rispettive relazioni sull’attività svolta per trovare il file occultato:
- Il file nascosto era questo (PDF 17k)
- La relazione di Denis Frati (PDF 940k)
- La relazione di Nanni Bassetti (PDF 140k)
Grazie a tutti per aver partecipato, ed alla prossima sfida.
#1 da Nanni Bassetti il 8 November 2007 - 16:30
Riporto un mio pensiero già espresso a Mario via e-mail:
Il test ha sollevato un problema, a mio avviso, non banale
perchè trovare un file, che risulta essere ASCII TXT a tutti gli strumenti, in mezzo a migliaia di files….significa controllarli uno ad uno…
Inoltre se Mario avesse tolto l’header ed il footer, sarebbe stato ancora più complicato capire il formato….e su questo si dovrebbe trovare un sistema metodologico….la non banalità sta proprio nel fatto che, con tutti gli strumenti che avevamo, alla fine è bastato un editor di testo per scoprire il formato….siccome devo immaginare, che con quegli strumenti si risolvono la maggior parte dei casi, devo anche immaginare che la
maggior parte dei casi riguarda:
files cancellati, evidences ritrovabili tramite keywords search, formati strani individuabili dai tools vari, file ritrovabili tramite time activity, ecc. ecc.
Mentre nel nostro caso c’è stata una sorta di “manualità”….
Io l’ho trovato per “caso” guardando testualmente uno dei tanti files presenti, Denis cercava un pps ed ha trovato casualmente i caratteri “pps” nel corpo del file DICT, insomma la risoluzione è frutto di:
1) Competenza
2) Testardaggine
3) Casualità
La cosa bella è che abbiamo comuque effettuato molti tentativi “classici” e “fantasiosi”, mettendo alla prova tutto ciò che sappiamo e gli strumenti che avevamo.
Pingback: DenisFrati.it » Blog Archive » Compiti a casa…materia? Computer Forensics, naturalmente!!
#2 da denis il 8 November 2007 - 23:12
Credo che alla fine tutti si affronti una serie di passaggi quasi obbligati:
-i files cancellati
-le ricerche per tipologia di file
-le ricerche per parole chiave
-eccc….
Quello che trovo utile della sperimentazione (gioco, esercizio, training che lo si voglia definire) è che permette di prendere confidenza con procedure, metodiche, tools e permette di fare Esperienza, di conoscere le Esperienze altrui e farle proprie.
Personalmente l’esperienza mi ha aiutato quando visualizzando il contenuto del settore in cui era stata trovata la stringa da me ricercata (pps) mi è parso di riconoscere la tipologia di file.
Quando poi, con Autopsy, ho visualizzato l’intero contenuto del file, parte del quale era contenuta in quel settore, ho avuto conferma della mia impressione e sono stato messo sulla buona strada.
La pratica è essenziale!
Per chi si avvicina alla computer forensic non è facile praticare, ci si trova in un circolo vizioso dove per operare devi già avere competenza ed esperienza, ma non riuscendo ad operare non te la puoi fare….∞
Allora gli esercizi sono un ottimo campo di allenamento.
Questo mi è piaciuto perché rappresentava un caso reale, plausibile.
Sfortunatamente altri, che compaiono in siti molto in voga, che fanno molto trend, sono talmente complicati da scoraggiare chi si avvicina alla disciplina, perché realizzati da specialisti per specialisti.
Un applauso a Mario, con la speranza che, tempo permettendo, ne prepari un’altro.
#3 da Gianchi il 13 November 2007 - 10:37
Come ho già scritto sul blog di Denis Frati (e qui riporto):
Bellissimo esercizio. Sono un laureando di Ingegneria Informatica (laurea specialistica) e da poco sto muovendo i miei primi passi nell’affascinante mondo dell’Informatica Forense.
Mi sono divertito molto a risolvere l’arcano… ma mi chiedo: ci sono altri esercizi on-line di questo tipo? Mi farebbero molto comodo!
#4 da denis il 13 November 2007 - 16:04
certo che ne trovi altre in rete!
Qui ( http://www.honeynet.org/scans/index.html ) trovi quelle curate dal progetto honeynet.org.
La maggior parte sono forse più indirizzate alla network forensic e all’incident response, mentre la n.24 e 26 (fanno parte dello stesso “caso investigativo”) si svolgono sulle immagini di due floppy.
Personalmente mi paiono più complesse (le avevo guardate oltre un anno e mezzo fa), forse troppo per chi si avvicina alla disciplina e si corre il rischio di venirne allontanati.
Però…(perchè un però c’è sempre) troviamo numerose soluzioni che possono indicare i differenti modi di impostare l’indagine!
Vale sicuramente la pena guardarsele.
#5 da Luca Calcaterra il 9 May 2008 - 18:10
Ancora prima di vedere la soluzione ho fatto un po’ di tentativi. Uno secco è stato quello di utilizzare Photorec che effettua il carving dei files utilizzando gli header e i footer. Tutti i files sono stati trovati tranne quello dello schema elettrico, poichè aveva una codifica non riconosciuta da Photorec. Pazienza
Bravissimi comunque ai due risolutori del caso !
Luca