Per chi non ha potuto partecipare, e per chi vuole avere in mano le prove, sono disponibili i video degli interventi al convegno CFItaly 2008.
I video sono sul sito di CFItaly o su quello di Denis Frati.
Il mio intervento è nel secondo video, purtroppo il più lungo.
Ricordo che le slide (titolo: Il nascondino dei bit) sono disponibili qui, sia in PDF che in OpenOffice Impress.
Fatemi sapere cosa ne pensate.
Finalmente, ora che il pargolo dorme, la cucina è tornata pulita ed in ordine, posso sedermi un po’ al computer e fissare le idee sulla giornata di ieri.
Non è il primo convegno a cui partecipo come relatore, ma certamente è stato il primo in cui mi presentavo in prima persona.
Finalmente ho conosciuto quelle persone che hanno reso possibile e realizzato concretamente l’evento: Nanni Bassetti, Denis Frati, Gianni Amato, Giancarlo Cucinotta, gli avvocati Gallus e Micozzi (simpaticissimi e preparatissimi).
Gli interventi sono stati tutti validissimi, e mi è molto dispiaciuto per quelli di Gallus e Micozzi, a cui ero particolarmente interessato, accorciati per mancanza di tempo. D’altra parte era il primo convegno organizzato da CFItaly e ovviamente non poteva andare tutto perfetto e liscio.
Il risultato è stato comunque di rilievo, con una buona partecipazione, considerando il particolare argomento e la giovinezza di CFItaly.
Personalmente ho trovato semplicemente sbalorditivo l’intervento di Cucinotta, a cui va un meritatissimo titolo di Hacker di prima classe. Quello che è riuscito a fare il suo reparto ha dell’incredibile.
Un ringraziamento a chi ha partecipato, mostrando pazienza per i piccoli intoppi tipici della prima volta, ma anche coinvolgimento e partecipazione, con le tantissime domande con cui hanno tempestato tutti i relatori.
Per chi è interessato, sul sito di CFItaly si trova il resoconto completo e qualche foto. L’album completo di quelle scattate da me sono in questo set su Flickr.
La mia presentazione è qui:
Qualche tempo fa è nata la mailing list Computer Forensics Italy, per iniziativa di Nanni Bassetti e Denis Frati. In breve la lista, riservata agli iscritti, è cresciuta e conta oltre duecento registrati (per registrarsi il link da seguire è questo), poi è nato il sito web.
I due promotori dell’iniziativa hanno poi proposto un istruttivo game (disponibile qui) per fini didattici e di confronto professionale.
Ora, il prossimo passo è un convegno, per favorire l’incontro degli iscritti e far conoscere l’iniziativa.
Dettagli sul convegno e sulla registrazione (obbligatoria) sono qui.
Parteciperò come relatore, e parlerò dei metodi per nascondere dati, senza uso di crittografia. Se passate da quelle parti, fatevi riconoscere!
A seguito di uno scambio di idee con gli amici di CFItaly, mi è venuta l’idea di provare a giocare un po’ con l’analisi statistica del contenuto di un file generico. Non è una idea nuova (rif. Denis Frati), certamente no, ma al solito ogni tanto mi piace di curiosare in cose per me nuove.
Il risultato è un programmino semplicissimo, che ho chiamato Prisma.
L’idea è questa: in ogni tipologia di file la presenza di certi valori di byte non è casuale, ma è in qualche modo legata al contenuto del file stesso. Per cui un file di testo avrà una particolare distribuzione dei valori dei byte, mentre una immagine o un file eseguibile ne avranno una differente, anche in funzione della codifica. Analizzando le frequenze con cui ogni valore di byte compare nel file si potrebbero individuare anomalie nel contenuto del file stesso, come ad esempio un testo nascosto in un file audio, oppure più semplicemente file camuffati: immagini spacciate come file compressi e simili.
Funziona in questo modo: si forniscono in standard input i dati da analizzare, per esempio un file, e in uscita si hanno tre differenti tipi di output a scelta. Il primo, banale, è un file CSV con i dati di frequenza complessivi di tutti i dati forniti in ingresso. E’ utilizzabile per fare un grafico con OpenOffice Calc e simili.
L’altro output è grafico, sotto forma di immagine PNG, in due varianti: la più semplice mostra uno spettrogramma complessivo per tutti i dati in input, ed è semplicemente una differente rappresentazione dei dati forniti anche in CSV, tanto che si possono chiedere entrambi. La seconda opzione è più intrigante: produce una immagine larga 256 pixel in cui ogni riga è lo spettrogramma di un blocco di dati in input, e la dimensione del blocco è configurabile. In pratica si ha un colpo d’occhio sul contenuto del file, reso in forma grafica.
Questo è lo spettro di un file di testo (la licenza GNU GPL per la precisione).
Questo è quello che si ottiene usando un file Wave.
Questo invece è lo spettrogramma dello stesso file (clicca sull’immagine per la dimensione reale).
Il primo file è stato ottenuto col comando:
$ cat COPYING | prisma -p asciitext.png
Lo spettrogramma del file Wave invece è stato ottenuto col comando:
$ cat test.wav | prisma -p wave-big.png -b 100000
Per chi è interessato, il programma è rilasciato sotto licenza GNU GPLv2, ed il tarball dei sorgenti con il makefile per compilare ed installare il tutto, con tanto di pagine man in italiano ed inglese è scaricabile qui. Richiede le librerie e gli header di ImageMagick per la compilazione
Sono ovviamente graditi commenti e suggerimenti per il miglioramento.
Nov 21
Il progetto Honeynet pubblica ogni tanto una sfida con cui cimentarsi e su cui provare le proprie capacità di indagine in questioni di sicurezza dell’informazione.
Nel settembre 2004 ho partecipato ad una delle loro sfide, dette Scan of the Month, e mi sono classificato fra i primi dieci.
Il testo con il quale ho partecipato è qui.
Questo sito e tutti i suoi contenuti sono pubblicati sotto una Licenza Creative Commons, quando non diversamente specificato.
Per altri usi, basta contattarmi.
