Comments on: Test di Computer Forensics: i risultati http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/ Sto lavorando sodo per preparare il mio prossimo errore (B. Brecht) Wed, 16 Jun 2010 16:23:05 +0000 hourly 1 http://wordpress.org/?v=3.0 By: Luca Calcaterra http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/comment-page-1/#comment-3432 Luca Calcaterra Fri, 09 May 2008 17:10:16 +0000 http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/#comment-3432 Ancora prima di vedere la soluzione ho fatto un po' di tentativi. Uno secco è stato quello di utilizzare Photorec che effettua il carving dei files utilizzando gli header e i footer. Tutti i files sono stati trovati tranne quello dello schema elettrico, poichè aveva una codifica non riconosciuta da Photorec. Pazienza :-) Bravissimi comunque ai due risolutori del caso ! Luca Ancora prima di vedere la soluzione ho fatto un po’ di tentativi. Uno secco è stato quello di utilizzare Photorec che effettua il carving dei files utilizzando gli header e i footer. Tutti i files sono stati trovati tranne quello dello schema elettrico, poichè aveva una codifica non riconosciuta da Photorec. Pazienza :-) Bravissimi comunque ai due risolutori del caso !
Luca

]]> By: denis http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/comment-page-1/#comment-2088 denis Tue, 13 Nov 2007 15:04:41 +0000 http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/#comment-2088 certo che ne trovi altre in rete! Qui ( http://www.honeynet.org/scans/index.html ) trovi quelle curate dal progetto honeynet.org. La maggior parte sono forse più indirizzate alla network forensic e all’incident response, mentre la n.24 e 26 (fanno parte dello stesso “caso investigativo”) si svolgono sulle immagini di due floppy. Personalmente mi paiono più complesse (le avevo guardate oltre un anno e mezzo fa), forse troppo per chi si avvicina alla disciplina e si corre il rischio di venirne allontanati. Però…(perchè un però c’è sempre) troviamo numerose soluzioni che possono indicare i differenti modi di impostare l’indagine! Vale sicuramente la pena guardarsele. certo che ne trovi altre in rete!
Qui ( http://www.honeynet.org/scans/index.html ) trovi quelle curate dal progetto honeynet.org.
La maggior parte sono forse più indirizzate alla network forensic e all’incident response, mentre la n.24 e 26 (fanno parte dello stesso “caso investigativo”) si svolgono sulle immagini di due floppy.
Personalmente mi paiono più complesse (le avevo guardate oltre un anno e mezzo fa), forse troppo per chi si avvicina alla disciplina e si corre il rischio di venirne allontanati.
Però…(perchè un però c’è sempre) troviamo numerose soluzioni che possono indicare i differenti modi di impostare l’indagine!
Vale sicuramente la pena guardarsele.

]]> By: Gianchi http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/comment-page-1/#comment-2087 Gianchi Tue, 13 Nov 2007 09:37:38 +0000 http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/#comment-2087 Come ho già scritto sul blog di Denis Frati (e qui riporto): Bellissimo esercizio. Sono un laureando di Ingegneria Informatica (laurea specialistica) e da poco sto muovendo i miei primi passi nell’affascinante mondo dell’Informatica Forense. Mi sono divertito molto a risolvere l’arcano… ma mi chiedo: ci sono altri esercizi on-line di questo tipo? Mi farebbero molto comodo! Come ho già scritto sul blog di Denis Frati (e qui riporto):

Bellissimo esercizio. Sono un laureando di Ingegneria Informatica (laurea specialistica) e da poco sto muovendo i miei primi passi nell’affascinante mondo dell’Informatica Forense.

Mi sono divertito molto a risolvere l’arcano… ma mi chiedo: ci sono altri esercizi on-line di questo tipo? Mi farebbero molto comodo!

]]> By: denis http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/comment-page-1/#comment-1995 denis Thu, 08 Nov 2007 22:12:51 +0000 http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/#comment-1995 Credo che alla fine tutti si affronti una serie di passaggi quasi obbligati: -i files cancellati -le ricerche per tipologia di file -le ricerche per parole chiave -eccc.... Quello che trovo utile della sperimentazione (gioco, esercizio, training che lo si voglia definire) è che permette di prendere confidenza con procedure, metodiche, tools e permette di fare Esperienza, di conoscere le Esperienze altrui e farle proprie. Personalmente l'esperienza mi ha aiutato quando visualizzando il contenuto del settore in cui era stata trovata la stringa da me ricercata (pps) mi è parso di riconoscere la tipologia di file. Quando poi, con Autopsy, ho visualizzato l'intero contenuto del file, parte del quale era contenuta in quel settore, ho avuto conferma della mia impressione e sono stato messo sulla buona strada. La pratica è essenziale! Per chi si avvicina alla computer forensic non è facile praticare, ci si trova in un circolo vizioso dove per operare devi già avere competenza ed esperienza, ma non riuscendo ad operare non te la puoi fare....∞ Allora gli esercizi sono un ottimo campo di allenamento. Questo mi è piaciuto perché rappresentava un caso reale, plausibile. Sfortunatamente altri, che compaiono in siti molto in voga, che fanno molto trend, sono talmente complicati da scoraggiare chi si avvicina alla disciplina, perché realizzati da specialisti per specialisti. Un applauso a Mario, con la speranza che, tempo permettendo, ne prepari un'altro. Credo che alla fine tutti si affronti una serie di passaggi quasi obbligati:
-i files cancellati
-le ricerche per tipologia di file
-le ricerche per parole chiave
-eccc….
Quello che trovo utile della sperimentazione (gioco, esercizio, training che lo si voglia definire) è che permette di prendere confidenza con procedure, metodiche, tools e permette di fare Esperienza, di conoscere le Esperienze altrui e farle proprie.
Personalmente l’esperienza mi ha aiutato quando visualizzando il contenuto del settore in cui era stata trovata la stringa da me ricercata (pps) mi è parso di riconoscere la tipologia di file.
Quando poi, con Autopsy, ho visualizzato l’intero contenuto del file, parte del quale era contenuta in quel settore, ho avuto conferma della mia impressione e sono stato messo sulla buona strada.
La pratica è essenziale!
Per chi si avvicina alla computer forensic non è facile praticare, ci si trova in un circolo vizioso dove per operare devi già avere competenza ed esperienza, ma non riuscendo ad operare non te la puoi fare….∞
Allora gli esercizi sono un ottimo campo di allenamento.
Questo mi è piaciuto perché rappresentava un caso reale, plausibile.
Sfortunatamente altri, che compaiono in siti molto in voga, che fanno molto trend, sono talmente complicati da scoraggiare chi si avvicina alla disciplina, perché realizzati da specialisti per specialisti.
Un applauso a Mario, con la speranza che, tempo permettendo, ne prepari un’altro.

]]> By: DenisFrati.it » Blog Archive » Compiti a casa…materia? Computer Forensics, naturalmente!! http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/comment-page-1/#comment-1994 DenisFrati.it » Blog Archive » Compiti a casa…materia? Computer Forensics, naturalmente!! Thu, 08 Nov 2007 15:32:49 +0000 http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/#comment-1994 [...] Qui Mario Pascucci ha pubblicato i risultati del test. Nel caso doveste avere problemi con il download [...] [...] Qui Mario Pascucci ha pubblicato i risultati del test. Nel caso doveste avere problemi con il download [...]

]]> By: Nanni Bassetti http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/comment-page-1/#comment-1993 Nanni Bassetti Thu, 08 Nov 2007 15:30:29 +0000 http://www.ismprofessional.net/pascucci/index.php/2007/11/test-di-computer-forensics-i-risultati/#comment-1993 Riporto un mio pensiero già espresso a Mario via e-mail: Il test ha sollevato un problema, a mio avviso, non banale perchè trovare un file, che risulta essere ASCII TXT a tutti gli strumenti, in mezzo a migliaia di files....significa controllarli uno ad uno... Inoltre se Mario avesse tolto l'header ed il footer, sarebbe stato ancora più complicato capire il formato....e su questo si dovrebbe trovare un sistema metodologico....la non banalità sta proprio nel fatto che, con tutti gli strumenti che avevamo, alla fine è bastato un editor di testo per scoprire il formato....siccome devo immaginare, che con quegli strumenti si risolvono la maggior parte dei casi, devo anche immaginare che la maggior parte dei casi riguarda: files cancellati, evidences ritrovabili tramite keywords search, formati strani individuabili dai tools vari, file ritrovabili tramite time activity, ecc. ecc. Mentre nel nostro caso c'è stata una sorta di "manualità".... Io l'ho trovato per "caso" guardando testualmente uno dei tanti files presenti, Denis cercava un pps ed ha trovato casualmente i caratteri "pps" nel corpo del file DICT, insomma la risoluzione è frutto di: 1) Competenza 2) Testardaggine 3) Casualità La cosa bella è che abbiamo comuque effettuato molti tentativi "classici" e "fantasiosi", mettendo alla prova tutto ciò che sappiamo e gli strumenti che avevamo. Riporto un mio pensiero già espresso a Mario via e-mail:

Il test ha sollevato un problema, a mio avviso, non banale
perchè trovare un file, che risulta essere ASCII TXT a tutti gli strumenti, in mezzo a migliaia di files….significa controllarli uno ad uno…
Inoltre se Mario avesse tolto l’header ed il footer, sarebbe stato ancora più complicato capire il formato….e su questo si dovrebbe trovare un sistema metodologico….la non banalità sta proprio nel fatto che, con tutti gli strumenti che avevamo, alla fine è bastato un editor di testo per scoprire il formato….siccome devo immaginare, che con quegli strumenti si risolvono la maggior parte dei casi, devo anche immaginare che la
maggior parte dei casi riguarda:
files cancellati, evidences ritrovabili tramite keywords search, formati strani individuabili dai tools vari, file ritrovabili tramite time activity, ecc. ecc.
Mentre nel nostro caso c’è stata una sorta di “manualità”….

Io l’ho trovato per “caso” guardando testualmente uno dei tanti files presenti, Denis cercava un pps ed ha trovato casualmente i caratteri “pps” nel corpo del file DICT, insomma la risoluzione è frutto di:
1) Competenza
2) Testardaggine
3) Casualità

La cosa bella è che abbiamo comuque effettuato molti tentativi “classici” e “fantasiosi”, mettendo alla prova tutto ciò che sappiamo e gli strumenti che avevamo.

]]>