Resoconto Dettagliato IISFA Cybercop (parte II)

Dato che il numero di file sul supporto era piuttosto esiguo abbiamo lavorato manualmente per verificare gli stessi uno per uno. Da notarsi che, nella maggior parte dei casi “hexdump” è stato il tool più usato per effettuare questo lavoro.

Siamo partiti dalla directory /lavoro. Il file “brevetto.doc” pareva particolarmente invitante e, in più era protetto da password. Io avevo solo una vecchissima versione della suite della Lastbit che, obbiettivamente, faceva piuttosto pena. Per fortuna qualche giorno prima avevo montato una nuova macchina nel mio lab che, con la potenza della scheda grafica nvidia 8800 GT, le cuda library e il software della Elcomsoft di password cracking, aveva prestazioni da supercomputer. Purtroppo la connessione internet dentro al chiostro non era stabilissima, e quindi siamo riusciti solo a fare l'upload del file ma a telecontrollarla in vnc non c'erano proprio santi.

LK, in un lampo di genio, si era però scritto le nomine come ausiliari di polizia giudiziaria in modo da potersi avvalere di assistenti, quindi ho chiamato in laboratorio e uno dei miei che ha gentilmente avviato il processo di cracking, durato nemmeno un paio di secondi, e mi ha letto la password.

“brevetto.doc” ha rivelato contenere la gif di uno schema elettrico, che però non centrava nulla quanto sottratto all'azienda. Purtroppo non ce ne siamo accorti e ci siamo messi a saltare come 4 canguri convinti di aver trovato il primo pezzo del puzzle...

Rebus è poi partito affrontando la directory /lavoro/backup. Al suo interno vi era una enorme ramificazione di directory (pensata per mandare a gambe all'aria i sistemi Windows). L'unico modo di affrontarla è stato utilizzare linux con il caro vecchio “mc”.

Stava giusto maledicendo chi avesse fatto tale pensata quando LK ha interrotto il suo ciclo “Truecrypt, sì è truecrypt, risolvo io, ho l'ultima versione .... “ saltando sulla sedia e urlando “Eureka” come Archimede nella vasca da bagno, seguito da un “L'ho aperto”. LK si era letto il documento relativo alla scelta di password sicure e ne aveva provate alcune a caso tra quelle indicate. Banalmente “1234” aveva funzionato.

Neanche finito di terminare la spiegazione che LK ha urlato “Basta***” è scattato in piedi e si è messo ad inseguire Mazzaraco che casualmente era lì ne chiostro. L'espressione di LK era un misto tra quella di Attila e quella di Gengis Khan.

Calmato LK abbiamo scoperto che il contenuto del Truecrypt era un fake... con una eccezione. All'interno c'era una immagine aerea della zona di Bologna dove eravamo identica ad una seconda posta all'esterno del Truecrypt, solo differente nelle dimensioni.

Abbiamo urlato in tre “Steganografia”. Un passaggio di “stegdetect” sull'immagine fuori dal Truecrypt e “Camouflage” è stato il risultato. Ci siamo collegati ad Internet e abbiamo trovato un programma in grado di forzare la password di Camouflage. Abbiamo quindi scaricato il programma ed estratto il contenuto steganografato, il quale si è rivelato un file di testo contenente cifre binarie.

N.d.r: esisteva una soluzione alternativa, che abbiamo scoperto poi. Nella directory /Privato c'era anche un file “login.exe” che in realtà conteneva “MZ cGFzc3dvcmQ6IGFsZmE=”. MZ erano messi lì solo per ingannare Encase e farlo sembrare un vero eseguibile, il resto della stringa era la password del camouflage in formato “base64”.

Abbiamo provato a fare una conversione dal binario e quello che abbiamo ottenuto è stata la password dell'hidden volume di Truecrypt. Una volta montato è apparso perfettamente vuoto!

Il numero di improperi a quel punto era tendente a infinito.

Nel mentre LK ed io ci stavamo a rompere su tutto questo giochino, Rebus aveva trovato un file xls in una delle enormi ramificazioni della directory /lavoro Backup (una cosa tipo 30 livelli oltre la root). Il file si è poi rivelato un word protetto da password. Fatta saltare quest'ultima con la mia macchina in lab ha rivelato uno dei pezzi del puzzle.

A me quell'hidden volume vuoto non convinceva. Ho provato ad usare autopsy ma non vi ha trovato nulla. L'organizzazione ha messo a disposizione FTK ma Rebus non ci ha cavato nulla nemmeno con questo tool. Idem per il file carver “foremost”. Nulla di nulla.

Intanto il file “revisione 2_2007.xls” si era rivelato uno zip protetto da password. Con la suite della lastbit che avevo io sul Macbook siamo riusciti a farla saltare e trovare il secondo pezzo del puzzle.

Il tempo intanto passava e quindi LK e Clementi hanno cominciato a scrivere la relazione di quanto scoperto sinora. Non essendo ancora convinto ho provato a fare un'ultima prova. Ho scaricato da internet “PC file recovery”, il software di undelete che si trova all'interno della parte Windows della Helix, l'ho lanciato in una macchina virtuale Windows e l'ho configurato in modalità “file carving” sull'hidden volume del Truecrypt. Magicamente ha trovato un solo file tiff a partire dal cluster 128. Il terzo pezzo del puzzle. Freeware vs FTK, 1-0.

n.d.r.: non ci siamo accorti che era il terzo. Pensavamo fosse il quarto dato che eravamo convinti che quello contenuto nel file “brevetto.doc” fosse il primo e non un fake... il quarto pezzo era in realtà in un exe autocompattante nella directory /driver/usb/ e rinominato come “usb.dll”.

Mancavano oramai 5 minuti alla chiusura. Unico problema rimaneva presentare le prove in formato html su un CD, come richiesto dal regolamento. Qui LK ha dato il meglio di se, scrivendosi al volo un web server in ruby, mettendoci dentro tutte le evidence e riaquisendole via wget per ottenere l'albero html. Un tocco da maestro.

A domani per la III parte.