Argomento che poco centra con la forense.
Sto lavorando ad un sistema informativo che eroghi contenuti multimediali su Internet. Dato che la primaria funzione del sistema è quella di distribuire contenuti video live (no niente videochat, pervertiti ;-P), ho scelto di lavorare con Mac OSX Server che incorpora Quicktime Streaming Server e Podcast Producer.
Ora dato che il budget per l'intero sistema non è elevato, si è deciso di lavorare con due Mac Mini piuttosto pompati piuttosto di lavorare con due XServe, ben più costosi.
Daltronde un Macmini nuovo con chipset nvidia 4 Gb di RAM e un core 2 duo da oltre 2 Ghz dispone di potenza sufficiente per poter gestire un video server con risoluzioni non troppo elevate per la trasmissione di seminari e conferenze.
Il problema è questo. Mac OSX Server versione boxed è distribuito in versione 10.5.4, che non supporta l'hardware del Mac Mini (supportato dalla versione 10.5.6 di Leopard). Quindi niente boot diretto.
Come si installa? Il primo modo che mi appare semplice è quello di fare boot con il Leopard installato normalmente sul Macmini, inserire il CD di Mac OSX Server e installarlo come aggiornamento. Tutto appare filare liscio. QTSS funziona ecc. ecc. ma poi, quando attivo il directory service per la gestione degli utenti, non ci sono santi. Kerberos si rifiuta di partire e va in coredump con un signal 11.
Passo tutto lo week end a leggere documentazione. Nulla di risolutivo. Il Kerberos ha comportamenti assurdi, non parte e le utility muoiono con un signal 11 oppure con un "bus error".
Mi convinco che il problema deve essere legato al metodo di installazione del sistema operativo. Devo riuscire ad installare Mac OSX Server direttamente sul Mac Mini, senza passare dal boot di una versione client più aggiornata. Come fare?
Dispongo di un MacBook Core 2 Duo prima serie (Basato su Intel GMA 945) e di un nuovo Mac Book White 2009 con chipset nvidia. Il secondo non fa boot manco a sberle. Condivide lo stesso hardware del macmini e quindi il 10.5.4 non lo supporta. Il primo funziona. Ma il MacBook ha una interfaccia Firewire 400, il Macmini una Firewire 800. L'unica cosa che ho qui con una Firewire 800 è un LaCie 2 Big a tripla interfaccia che però non ha il Firewire 400 (Firewire 800, USB 2, eSATA). Sigh!
Allora, prendo un disco esterno con interfaccia USB/Firewire 400. Installo Mac OSX Server sul disco esterno collegato al vecchio Macbook. Riesco a fare boot dal disco esterno dato che è dotato di interfaccia Firewire 400. A questo punto installo il combo update per portare il sistema alla 10.5.6. Non configuro alcun servizio.
Ora collego il disco esterno via USB al Macmini. Tento inutilmente di fare boot via USB. Allora inserisco il disco di ripristino del sistema fornito con il Macmini. Avvio l'installazione, chiamo Disk Utility, punto sul disco interno, clicco ripristina, uso come sorgente il disco esterno e avvio la copia.
Terminata, faccio reboot. Mac OSX Server si avvia regolarmente.
Aggiorno il sistema alla 10.5.7, configuro il DNS (Kerberos non funziona se vi sono problemi di name resolution), avvio il servizio di Open Directory configurato come "Open Directory Master". Kerberos si avvia perfettamente e tutto funziona.
Wow...
... ora devo solo spiegare a mia moglie perchè ho passato tutto lo week end in casa invece di portare lei e i bimbi al lago...
Pila
lunedì 22 giugno 2009
Cybercop 2009, il gioco II parte
"Avevo detto domani? Chi io? Nooooo..."
Intanto che i miei colleghi facevano richiesta al pm di ottenere i tabulati del mio telefono per dimostrare che io non avevo tradito nessuno, io mi dedicavo a facebook.
Mi è veniva un colpo di genio e gli mandavo un messaggio dicendogli che avevamo una amica in comune di nome xxxx, dove xxxx era il nome di donna trovato nella SIM. L'amicizia veniva subito confermata.
Da qui si notavano subito le foto incriminanti che erano sparite dal sito originale. Il problema ora era rintracciare la persona. Nelle informazioni del profilo appare una mail di hotmail. I miei colleghi provvedevano subito a chiedere le generalità a Microsoft.
Nel sito vi erano due video. Il primo è un trailer di "Ghost". Alla fine si nota una frase "Andate a vedere GOST al CINEMA". Purtroppo non vi ho fatto particolarmente attenzione... sigh
Guardando il secondo video, un trailer di "Ghost Raider", si notava un fotogramma con un enorme QRCode. Ohhhhh. Abbiamo cercato alcuni programmi per leggere QRCode. Ne abbiamo trovato uno in java che usa la videocamerea del macbook. Ho provveduto a stampare il QRCode e a leggerlo con la videocamera. Niente...
Per fortuna Luigi se ne andava dal PM con una pila di atti lasciando in bella mostrail suo Nokia E90. Mentre sbattevo la testa sul tavolo vedevo l'oggetto e mi tornava in mente il fatto che ha a bordo un programma per leggere QRCode. Lo ho puntato sul fotogramma et voilà, ecco un bell'indirizzo e-mail facente capo a Microsoft.
Luigi a questo punto provvedeva a fare una rogatori internazionale per richiedere generalità dell'account e sequestro della posta elettronica. Si noti che se per le generalità dell'account è sufficiente chiedere a Microsoft Italia per ottenere anche la posta elettronica è doveroso chiedere alla casa madre negli Stati Uniti.
Le informazioni ottenute riguardavano principalmente l'indirizzo ip usato per aprire l'account. Solo che l'ora del server è quella di Chicago. Alcuni qui si perdono e non effettuano la conversione ottenendo quindi dal provider italiano l'account sbagliato.
Si effettuava la "perquisizione" e se ne esce con un pendrive. Appariva subito un file system piuttosto strano, come se vi fosse stato un pezzo di un disco Windows sulla chiavetta. Dopo un po' di ricerche appariva evidente che si trattasse di "Mojopac" un metodo per disporre di un PC privato. Si infila la chiavetta in una qualunque sistema Windows e avviando l'applicazione si trova sempre lo stesso ambiente, separato dal pc ospite.
Qui si presentavano delle difficoltà dato che non era possibile usare la penna originale e per duplicarla senza incorrere in problemi era necessario trovare un supporto perfettamente identico. Inoltre il Mojopac conteneva un trojan che, se avviato su una macchina con la connessione Internet attiva spediva i dati relativi al c su cui era stato avviato. Per fortuna noi avevamo solo una macchina in rete.
Litiano provvedeva a questo punto ad analizzare la penna a livello di filesystem, io avviavo il mojopac. Entrambi abbiamo trovato subito alcune delle foto presenti sul sito. Ora la parte difficile era capire che una di queste era più grande di quella sul sito. Capito questo si poteva trovare invisible secret installato, bastava scegliere GOST come algoritmo steganografico e CINEMA come pass e si poteva aprire il gestore di password sicure di invisible secret con tutti gli account. Ma io ero distratto e avevamo poco tempo...
Litiano però con X-Ways forensics aveva trovato una marea di cookies che dimostravano inequivocabilmente che la persona che possedeva tale penna si era collegata con username e password:
1- Nel sito di altervista (anche via ftp dato che c'era un Wu-FTP già configurato e mancante solo della pass)
2- Nel profilo di FaceBook di Mario MGX Rossi
3- Nel profilo di Youtube contenente i due filmati presenti su Facebook
4- Nella Webmail di Microsoft
Elementi più che sufficienti per poter incastrare la persona.
Intanto che i miei colleghi facevano richiesta al pm di ottenere i tabulati del mio telefono per dimostrare che io non avevo tradito nessuno, io mi dedicavo a facebook.
Mi è veniva un colpo di genio e gli mandavo un messaggio dicendogli che avevamo una amica in comune di nome xxxx, dove xxxx era il nome di donna trovato nella SIM. L'amicizia veniva subito confermata.
Da qui si notavano subito le foto incriminanti che erano sparite dal sito originale. Il problema ora era rintracciare la persona. Nelle informazioni del profilo appare una mail di hotmail. I miei colleghi provvedevano subito a chiedere le generalità a Microsoft.
Nel sito vi erano due video. Il primo è un trailer di "Ghost". Alla fine si nota una frase "Andate a vedere GOST al CINEMA". Purtroppo non vi ho fatto particolarmente attenzione... sigh
Guardando il secondo video, un trailer di "Ghost Raider", si notava un fotogramma con un enorme QRCode. Ohhhhh. Abbiamo cercato alcuni programmi per leggere QRCode. Ne abbiamo trovato uno in java che usa la videocamerea del macbook. Ho provveduto a stampare il QRCode e a leggerlo con la videocamera. Niente...
Per fortuna Luigi se ne andava dal PM con una pila di atti lasciando in bella mostrail suo Nokia E90. Mentre sbattevo la testa sul tavolo vedevo l'oggetto e mi tornava in mente il fatto che ha a bordo un programma per leggere QRCode. Lo ho puntato sul fotogramma et voilà, ecco un bell'indirizzo e-mail facente capo a Microsoft.
Luigi a questo punto provvedeva a fare una rogatori internazionale per richiedere generalità dell'account e sequestro della posta elettronica. Si noti che se per le generalità dell'account è sufficiente chiedere a Microsoft Italia per ottenere anche la posta elettronica è doveroso chiedere alla casa madre negli Stati Uniti.
Le informazioni ottenute riguardavano principalmente l'indirizzo ip usato per aprire l'account. Solo che l'ora del server è quella di Chicago. Alcuni qui si perdono e non effettuano la conversione ottenendo quindi dal provider italiano l'account sbagliato.
Si effettuava la "perquisizione" e se ne esce con un pendrive. Appariva subito un file system piuttosto strano, come se vi fosse stato un pezzo di un disco Windows sulla chiavetta. Dopo un po' di ricerche appariva evidente che si trattasse di "Mojopac" un metodo per disporre di un PC privato. Si infila la chiavetta in una qualunque sistema Windows e avviando l'applicazione si trova sempre lo stesso ambiente, separato dal pc ospite.
Qui si presentavano delle difficoltà dato che non era possibile usare la penna originale e per duplicarla senza incorrere in problemi era necessario trovare un supporto perfettamente identico. Inoltre il Mojopac conteneva un trojan che, se avviato su una macchina con la connessione Internet attiva spediva i dati relativi al c su cui era stato avviato. Per fortuna noi avevamo solo una macchina in rete.
Litiano provvedeva a questo punto ad analizzare la penna a livello di filesystem, io avviavo il mojopac. Entrambi abbiamo trovato subito alcune delle foto presenti sul sito. Ora la parte difficile era capire che una di queste era più grande di quella sul sito. Capito questo si poteva trovare invisible secret installato, bastava scegliere GOST come algoritmo steganografico e CINEMA come pass e si poteva aprire il gestore di password sicure di invisible secret con tutti gli account. Ma io ero distratto e avevamo poco tempo...
Litiano però con X-Ways forensics aveva trovato una marea di cookies che dimostravano inequivocabilmente che la persona che possedeva tale penna si era collegata con username e password:
1- Nel sito di altervista (anche via ftp dato che c'era un Wu-FTP già configurato e mancante solo della pass)
2- Nel profilo di FaceBook di Mario MGX Rossi
3- Nel profilo di Youtube contenente i due filmati presenti su Facebook
4- Nella Webmail di Microsoft
Elementi più che sufficienti per poter incastrare la persona.
venerdì 15 maggio 2009
Cybercop 2009, il gioco I parte
Per chi non era presente a Bologna per IISFA Forum/Cybercop 2009 qui la telecronaca del gioco e di come è stato risolto.
Piccola nota: Si è sentita l'assenza di LK che millantando scuse come AD di FoolDNS ha dato forfait all'ultimo. La squadra di quest'anno era formata da me e da tre panzer/stakanovisti che non hanno mollato un secondo. Per ore non è volata quasi una mosca. Niente improperi fantasioni, niente lanci di oggetti a Mazzaraco, niente inseguimenti con accetta alla mano tipo Shining. Quindi ottimo lavoro ma mooolto più serio
Ulteriore piccola nota: Il regolamento ci ha impedito di formare il dream team dell'anno scorso. Quindi abbiamo dovuto superare il blocco creando due squadre che fossero il più forti possibile. Abbiamo quindi praticamente unito i vincitori dello scorso anno con la squadra che probabilmente è arrivata seconda. L'idea era di fare un noi contro tutti, l'importante è che vincesse una delle due squadre (io competitivo, ma quando mai...). Quindi i nostri gemelli spirituali erano i "Munchkin" composta da Davide "Rebus" Gabrini, Stefano Fratepietro, Alessandro Clementi e Luca Ganzetti che sostituiva quel fedifrago di LK
La squadra ("Gli stupefacenti" nel senso di droghe ovviamente) era formata da Litiano Piccin (un nome, una garanzia, una macchina da guerra), Luigi Ranzato (direttamente dalla stanza dei bottoni del CIT di Trento), Alessandro Rossetti (GDF di Roma) e da un certo Pila...
Chi si aspettava una competizione da "Ti spezzo il bit in quattro" è rimasto deluso. Tanto quanto l'anno scorso il contest era sbilanciato sul lato tecnico, tanto quest'anno lo era su quello investigativo. Così Luigi e Alessandro, convinti di stare in "condor mode" dietro le nostre spalle per tutto il contest hanno prodotto atti con la velocità di una stampante laser e sfogliato il codice di procedura penale con la maestria di Don Abbondio con il suo breviario.
Si partiva da una denuncia effettuata da un certo "Marco Cagnolino" che a fronte di una segnalazione da parte di un amico scopriva che vi fossero alcune foto compromettenti sue, assieme ad alcune foto pedopornografiche, su un server denominato cybercop2009.altervista.org.
A questo punto, mentre Luigi e Alessandro procedevano prima con la notizia di reato e poi con la richiesta dei log del sito alla società Torinese che gestisce il sito, io e Litiano ci stavamo prendendo il contenuto del sito con un bel wget. Sul sito le immagini "pedopornografiche" non comparivano più ma vi era un rimando a Facebook ad un profilo denominato "Mario Rossi". I lamenti provenienti dalle varie squadre facevano capire chiaramente chi era a quel punto dato che profili a nome Mario Rossi su Facebook ce ne erano più di 500...
Nel sorgente di uno dei frame vi era però un commento in base 64 che, decodificato, puntava al profilo giusto. Abbiamo quindi creato un profilo nuovo su Facebook (non potevo certo andare con il mio anche se qualcuno lo ha fatto con risultati devastanti) e abbiamo chiesto l'amicizia che stata negata. Il problema era quindi farsi dare l'amicizia.
Nel frattempo dai log consegnati appariva una connessione effettuata dall'Italia e, in particolare, da un ip associato a Vodafone. Luigi e Alessandro hanno prodotto tutti gli atti necessari per risalire all'intestatario e procedere al sequestro. Ne risultava una SIM card PosteMobile (ma va?).
Io e Litiano l'abbiamo periziata al volo con l'UFED Cellbrite, che si è dimostrato, oltre che molto preciso, anche un vero fulmine. In meno di 5 minuti la SIM era periziata. All'interno vi era un messaggio cancellato che indicava un nome di donna come pass per avere l'amicizia su Facebook (abbiamo quindi mandato un messaggio al profilo di Mario Mgx Rossi con il nome e l'amicizia è stata subito accettata) e un SMS proveniente (apparentemente) dal mio cellulare che avvisava il proprietario della sim di scappare e cancellare tutto. A questo punto la squadra, oltre che correre a risolvere il puzzle, doveva pure cercare di scagionarmi...
A domani per il resto...
Piccola nota: Si è sentita l'assenza di LK che millantando scuse come AD di FoolDNS ha dato forfait all'ultimo. La squadra di quest'anno era formata da me e da tre panzer/stakanovisti che non hanno mollato un secondo. Per ore non è volata quasi una mosca. Niente improperi fantasioni, niente lanci di oggetti a Mazzaraco, niente inseguimenti con accetta alla mano tipo Shining. Quindi ottimo lavoro ma mooolto più serio
Ulteriore piccola nota: Il regolamento ci ha impedito di formare il dream team dell'anno scorso. Quindi abbiamo dovuto superare il blocco creando due squadre che fossero il più forti possibile. Abbiamo quindi praticamente unito i vincitori dello scorso anno con la squadra che probabilmente è arrivata seconda. L'idea era di fare un noi contro tutti, l'importante è che vincesse una delle due squadre (io competitivo, ma quando mai...). Quindi i nostri gemelli spirituali erano i "Munchkin" composta da Davide "Rebus" Gabrini, Stefano Fratepietro, Alessandro Clementi e Luca Ganzetti che sostituiva quel fedifrago di LK
La squadra ("Gli stupefacenti" nel senso di droghe ovviamente) era formata da Litiano Piccin (un nome, una garanzia, una macchina da guerra), Luigi Ranzato (direttamente dalla stanza dei bottoni del CIT di Trento), Alessandro Rossetti (GDF di Roma) e da un certo Pila...
Chi si aspettava una competizione da "Ti spezzo il bit in quattro" è rimasto deluso. Tanto quanto l'anno scorso il contest era sbilanciato sul lato tecnico, tanto quest'anno lo era su quello investigativo. Così Luigi e Alessandro, convinti di stare in "condor mode" dietro le nostre spalle per tutto il contest hanno prodotto atti con la velocità di una stampante laser e sfogliato il codice di procedura penale con la maestria di Don Abbondio con il suo breviario.
Si partiva da una denuncia effettuata da un certo "Marco Cagnolino" che a fronte di una segnalazione da parte di un amico scopriva che vi fossero alcune foto compromettenti sue, assieme ad alcune foto pedopornografiche, su un server denominato cybercop2009.altervista.org.
A questo punto, mentre Luigi e Alessandro procedevano prima con la notizia di reato e poi con la richiesta dei log del sito alla società Torinese che gestisce il sito, io e Litiano ci stavamo prendendo il contenuto del sito con un bel wget. Sul sito le immagini "pedopornografiche" non comparivano più ma vi era un rimando a Facebook ad un profilo denominato "Mario Rossi". I lamenti provenienti dalle varie squadre facevano capire chiaramente chi era a quel punto dato che profili a nome Mario Rossi su Facebook ce ne erano più di 500...
Nel sorgente di uno dei frame vi era però un commento in base 64 che, decodificato, puntava al profilo giusto. Abbiamo quindi creato un profilo nuovo su Facebook (non potevo certo andare con il mio anche se qualcuno lo ha fatto con risultati devastanti) e abbiamo chiesto l'amicizia che stata negata. Il problema era quindi farsi dare l'amicizia.
Nel frattempo dai log consegnati appariva una connessione effettuata dall'Italia e, in particolare, da un ip associato a Vodafone. Luigi e Alessandro hanno prodotto tutti gli atti necessari per risalire all'intestatario e procedere al sequestro. Ne risultava una SIM card PosteMobile (ma va?).
Io e Litiano l'abbiamo periziata al volo con l'UFED Cellbrite, che si è dimostrato, oltre che molto preciso, anche un vero fulmine. In meno di 5 minuti la SIM era periziata. All'interno vi era un messaggio cancellato che indicava un nome di donna come pass per avere l'amicizia su Facebook (abbiamo quindi mandato un messaggio al profilo di Mario Mgx Rossi con il nome e l'amicizia è stata subito accettata) e un SMS proveniente (apparentemente) dal mio cellulare che avvisava il proprietario della sim di scappare e cancellare tutto. A questo punto la squadra, oltre che correre a risolvere il puzzle, doveva pure cercare di scagionarmi...
A domani per il resto...
sabato 9 maggio 2009
Nuova edizione del libro
E' uscito la nuova edizione del mio libro.
E' cresciuto di circa 100 pagine. Molti argomenti sono stati revisionati, sono stati aggiunti nuovi capitoli e argomenti che si sono evoluti nel corso di questi anni.
Qui la scheda
Sarà nelle librerie dalla fine della prossima settimana.
Cybercop 2009
Si è concluso Cybercop 2009.
La squadra vincente è cambiata ma il risultato è inviariato:
ABBIAMO VINTO ANCHE QUEST'ANNO!!!
Certo è stato più difficile dell'anno scorso e molto più combattuto. Ma ci siamo riusciti.
Un ringraziamento particolare agli altri componenti della mia squadra, persone eccellenti sia umanamente sia professionalmente:
Litiano Piccin
Luigi Ranzato
Alessandro Rossetti
GRAZIE A TUTTI!!!
La squadra vincente è cambiata ma il risultato è inviariato:
ABBIAMO VINTO ANCHE QUEST'ANNO!!!
Certo è stato più difficile dell'anno scorso e molto più combattuto. Ma ci siamo riusciti.
Un ringraziamento particolare agli altri componenti della mia squadra, persone eccellenti sia umanamente sia professionalmente:
Litiano Piccin
Luigi Ranzato
Alessandro Rossetti
GRAZIE A TUTTI!!!
IISFA Forum si è concluso
Si è concluso IISFA Forum 2009.
E' stata una esperienza unica, come l'anno scorso. Mostra come l'associazione IISFA stia crescendo sia come numero di membri sia come importanza sul territorio.
Mi auguro che continui. Dal canto mio mi impegnerò il più possibile per far sì che vengano costantemente nuove iniziative.
Infatti, vi rendo noto che ora faccio ufficialmente parte del Board, insieme all'altro nuovo membro, Antonino Attanasio, al quale faccio i migliori auguri con tutta la mia simpatia
E' stata una esperienza unica, come l'anno scorso. Mostra come l'associazione IISFA stia crescendo sia come numero di membri sia come importanza sul territorio.
Mi auguro che continui. Dal canto mio mi impegnerò il più possibile per far sì che vengano costantemente nuove iniziative.
Infatti, vi rendo noto che ora faccio ufficialmente parte del Board, insieme all'altro nuovo membro, Antonino Attanasio, al quale faccio i migliori auguri con tutta la mia simpatia
lunedì 8 dicembre 2008
Saluti da Digital Voodoo in Germania
Sono in Germania, in un paesino immerso nella foresta, dalle parti di Francoforte.
Digital Voodoo (rigorosamente invite only) è un evento di tre giorni sul tema "Forensics e Antiforensics" organizzato da Commerzbank.
Un modo come un altro per giocarsi l'unico week-end lungo del mese di Dicembre.
Cosa non si fa per il lavoro ...
Digital Voodoo (rigorosamente invite only) è un evento di tre giorni sul tema "Forensics e Antiforensics" organizzato da Commerzbank.
Un modo come un altro per giocarsi l'unico week-end lungo del mese di Dicembre.
Cosa non si fa per il lavoro ...
Iscriviti a:
Post (Atom)
