Riflessioni in aereo

Ciao, ieri sono tornato dalla Polonia, in particolare dalla città di Szczytno, dove ho partecipato all'undicesima conferenza sul crimine tecnologico della polizia Polacca. Oggi sono di nuovo in viaggio per Roma, per la conferenza del Clusit dove sarò relatore, insieme a Bruno Fiammella.



I tre giorni passati in Polonia speravo fossero interessanti ma hanno dimostrato come, purtroppo, chi ha qualcosa da dire di davvero interessante nel campo della computer forensics siano davvero ancora troppo pochi.

In particolare mi hanno stupito alcune presentazioni, esposte da illustri professori di varie università polacche, che, pur essendo anche interessanti, erano palesemente teoriche. Parlando con questi in privata sede mi hanno confermato come quanto da loro esposto fosse basato su casi simulati all'interno dell'ateneo e tali tecniche non fossero mai state usate per alcun caso reale.

La presentazione di Access Data è stata quanto meno deprimente. Fatta palesemente da un commerciale ha reintrodotto il concetto del “quanto siamo belli, quanto siamo grandi, gli altri sono dietro di noi” ma non ha aggiunto una virgola al sapere generale. Quando, all'affermazione “you can use it (FTK 2.0) on your laptop”si è udita una sguaiata risata dal fondo della sala e una frase piantata a mezz'aria “yes, sure, everybody has a laptop with enough memory to runs FTK and that big elephant called Oracle” il relatore ha preferito evitare di rispondere e ha glissato dedicandosi alla nuova interfaccia “with coloured tabs”. Ancora mi chiedo perché abbiano voluto Oracle come prerequisito sulla macchina da analisi PERSONALE al posto di motori RDBMS più performanti e leggeri.

Ho giocato con COFEE, il tool di analisi forense di Microsoft. Ora posso affermare, senza tema di smentita, che esiste. Un giudizio? Come ho detto al rappresentante di Microsoft “a very nice TOY”. La parola TOY è ovviamente voluta. In pratica COFEE è un aggregatore, una GUI con la quale sono già disponibili circa 200 comandi (già parametrizzati) facenti parte sia del sistema operativo sia del resource kit. I sistemi supportati sono al momento 2000 (Server e workstation), XP e 2003 Server. Vista sarà supportato dalla versione 2.0.
Un paio di note:

1- Cofee può essere usato solo su una macchina accesa (io ho suggerito anche che sarebbe potuto essere usato su una virtual machine ricavata da una raw image, ma il rappresentante di Microsoft mi ha detto di no. Non ho capito se non ha realizzato quanto gli ho chiesto...)

2- Cofee sta su un drive read/write quindi è sensibili ad attacchi mirati o virali. The Microsot man mi ha detto che Cofee alla partenza per prima cosa verifica l'md5 dell'eseguibile. Dato che sta in un file solo va da se che l'md5 di confronto debba stare dentro l'eseguibile stesso. Vorrei capire se in forma crittata o in chiaro...

Di assolutamente positivo, un software chiamato XACT, il primo vero sistema per l'analisi a basso livello dei telefoni cellulari. Il costo non è basso (viene dato in bundle con tutto l'hardware necessario) e il numero di telefoni supportati non è, al momento, elevatissimo ma promette davvero molto molto bene. Tra il resto il prodotto è poi interfacciabile con l'altro software della stessa casa (.XRY) per l'analisi logica del dispositivo.

Direi che al momento attuale è l'unica alternativa al fare a pezzi il telefono e leggere i chip di memoria dopo averli dissaldati.
Sia la presentazione sia lo workshop mi hanno impressionato. Durante uno dei fuoriprogramma, una cena medioevale in costume in un castello vicino, ho avuto modo di parlare con i due relatori svedesi che si sono dimostrati, oltre a persone molto simpatiche, veramente competenti e preparati.

Ultima sorpresa, ho conosciuto Jaap van Oss, del Serius Crime Department di Europol. Ha tenuto una splendida presentazione su come e dove si sta muovendo il cybercrime in Europa, della quale ho condiviso ogni singola parola. Abbiamo passato un dopocena a parlare di CyberCrime, Hacking Profile (con un Raoul Chiesa lanciatissimo su HPP) e computer forensics, il tutto vestiti da signorotti medievali con un bicchiere di birra non filtrata in mano.

Saluti