Stefano Fratepietro mi ha chiesto di verificare il funzionamento di Caine in maniera indipendente rispetto a quanto fatto da lui per capire se era effettivamente presente un bug.
Così ho fatto e ho mandato una mail anche a Giancarlo Giustini. Unico problema quando ho mandato una mail ero fuori quindi ho usato il mail server di Leopard del mio portatile. Solo che l'ip dell'albergo era bannato (RBL) e quindi tale mail non gli è mai arrivata. Me ne sono accorto solo guardando il file di console del mio portatile che mi dava un "Rejected by RBL". Scusa Giancarlo... non è dipeso troppo da me.
Durante il test (che ha evidenziato tra l'altro alcune cose molto strane con vmware server, sul quale sto approfondendo e sulle quali vorrei uscire con un paper) dissi anche, così tra le righe a Stefano che il trattamento dello swap della DEFT 4 rispetto alla 3 mi piaceva molto meno. "Nemo profeta in patria". La mia sensazione è stata confermata.
Da qui accuse, report, blog, commenti, gente che se ne va dal mondo della forense, tirapiedi di note società che sparano idiozie su varie mailing list, accuse, ringraziamenti forzati e sinceri, casini, manie di persecuzione, gente che prende le parti uno dell'altro....
Tirando le file che è successo? Si sono trovati due bachi molto simili in due distribuzioni italiane. Tali bachi sono stati trovati molto in fretta rispetto alla data di uscita delle medesime. La filosofia open source funziona. Io faccio le pulci a te e tu le fai a me. I prodotti sono migliori e tutti sono più felici.
C'è qualcuno che ha dimostrato di essere migliore degli altri? Assolutamente sì, è la nuova Helix che continua a essere, nel bene e nel male, il punto di riferimento per la forense, lo standard da eguagliare e superare.
Qualcuno si è divertito a sparare a zero su tutto e tutti. Noto che tali persone non sono appartenenti a una delle due "fazioni" che si sono misurate in questo singolar tenzone, ma gente che non ha fatto mai nulla. Posso solo dire che non facendo niente non si rischia di sbagliare. Ragazzi, parafrasando una vecchia pubblicità "No Martini no party". Parli chi ha rischiato del suo o chi possa portare un apporto costruttivo a tutto il discorso.
Chi dice che le distro Live non servono a nulla, continui pure ad acquisire le macchine con Encase. Ne parleremo nelle dovute sedi (dibattimento).
Per il resto... "take it easy"! Siamo professionisti, non finiamo sempre per dimostrare che in Italia, indipendentemente dall'argomento, si finisce sempre per cadere sul discorso di "chi ce l'ha più lungo".
Contatti
domenica 30 novembre 2008
lunedì 24 novembre 2008
Caine: modifica delle Evidence
Credits: Si ringraziano Stefano Fratepietro per la prima sengalazione, Alessandro Rossetti e Litiano Piccin per la collaborazione
Problema: La distribuzione Caine orientata alla computer forensics, ha un bug (o meglio il file non è stato modificato opportunamente per funzionare in ambito di computer forensics) nel file mountall.sh (di derivazione ubuntu) che quindi utilizza, a sproposito, le partizioni di swap (0x82) eventualmente presenti sul sistema sul quale è stato fatto boot con il Live-CD.
Risultato: Questo comportamento si traduce nell'alterazione dello stato del sistema (con conseguante alterazione del valore di hash) se questo è un sistema GNU/Linux con partizione di swap (la quasi totalità dei sistemi GNU/Linux escluso qualche netbook con SSD).
Il problema NON è aggirabile al momento se non usando un write blocker (ove sia possibile collegarlo).
Workaround: Utilizzare Helix3 o DEFT v.4 che invece si comportano correttamente in questo frangente.
Il report completo lo trovate a a questo indirizzo in formato pdf.
Andrea
Problema: La distribuzione Caine orientata alla computer forensics, ha un bug (o meglio il file non è stato modificato opportunamente per funzionare in ambito di computer forensics) nel file mountall.sh (di derivazione ubuntu) che quindi utilizza, a sproposito, le partizioni di swap (0x82) eventualmente presenti sul sistema sul quale è stato fatto boot con il Live-CD.
Risultato: Questo comportamento si traduce nell'alterazione dello stato del sistema (con conseguante alterazione del valore di hash) se questo è un sistema GNU/Linux con partizione di swap (la quasi totalità dei sistemi GNU/Linux escluso qualche netbook con SSD).
Il problema NON è aggirabile al momento se non usando un write blocker (ove sia possibile collegarlo).
Workaround: Utilizzare Helix3 o DEFT v.4 che invece si comportano correttamente in questo frangente.
Il report completo lo trovate a a questo indirizzo in formato pdf.
Andrea
ASUS: Grazie di nulla
L'uscita di DEFT 4.0 mi ha lanciato nella realizzazione della DEEEFT 4.0, ovvero la versione per EEEPC di DEFT. Posso annunciarvi che sarà disponibile tra pochissimo.
Nel contempo ho contattato Asus tramite la loro agenzia di PR, Preview . La mia idea era quella di chiedere loro un minimo di supporto per poter portare DEEEFT su tutti i vari modelli di EEE PC. Data la velocità con cui cambiano i vari modelli non posso comprarne uno per tipo di tasca mia.
La risposta è che possono mandarmi un EEE PC per al massimo due settimane. Grazie, signori, tenetevelo. Non ci devo fare sopra una recensione copiando dalla cartella stampa, i miei scopi sono altri.
Quindi al momento posso dirvi che DEEEFT uscirà testata sui seguenti modelli:
1- 701, grazie a mio padre che ne ha uno
2- 900, il mio
3- 904HD per merito del mio amico Antonio
4- 1000H grazie a Salvatore Tarantino, della polizia postale di Bolzano, che ne ha acquistato personalmente uno e mi ha detto che me lo metterà a disposizione per qualche giorno per i test.
Se qualcuno avesse dei modelli di EEEPC diversi e riscontrasse problemi con la futura DEEEFT 4 vi prego di farmelo sapere e magari di mandare anche una mail di ringraziamento a Asus Italia e al suo solerte e generoso supporto per il mondo Open Source.
Nel contempo ho contattato Asus tramite la loro agenzia di PR, Preview . La mia idea era quella di chiedere loro un minimo di supporto per poter portare DEEEFT su tutti i vari modelli di EEE PC. Data la velocità con cui cambiano i vari modelli non posso comprarne uno per tipo di tasca mia.
La risposta è che possono mandarmi un EEE PC per al massimo due settimane. Grazie, signori, tenetevelo. Non ci devo fare sopra una recensione copiando dalla cartella stampa, i miei scopi sono altri.
Quindi al momento posso dirvi che DEEEFT uscirà testata sui seguenti modelli:
1- 701, grazie a mio padre che ne ha uno
2- 900, il mio
3- 904HD per merito del mio amico Antonio
4- 1000H grazie a Salvatore Tarantino, della polizia postale di Bolzano, che ne ha acquistato personalmente uno e mi ha detto che me lo metterà a disposizione per qualche giorno per i test.
Se qualcuno avesse dei modelli di EEEPC diversi e riscontrasse problemi con la futura DEEEFT 4 vi prego di farmelo sapere e magari di mandare anche una mail di ringraziamento a Asus Italia e al suo solerte e generoso supporto per il mondo Open Source.
Scusate la lunga latitanza...
Chiedo scusa a tutti per la lunga latitanza.
Sono stati mesi molto densi, non solo dal punto di vista lavorativo. Talmente densi che il blog è stato l'ultimo dei miei pensieri. dunque in primis sono andato in ferie. Ci voleva :-P
La meta di quest'anno è stato il Mar Rosso. Mi sono dilettato nel fare snorkeling e immersione in ARA. Penso di aver fatto l'immersione più bella della mia vita al Thistlegorm, un relitto di una nave mercantile inglese affondata durante la II guerra mondiale. Una immersione che unisce la visita ad un relitto incredibile, l'immersione in un pezzo della nostra storia e il bearsi di una fauna che solo nel Mar Rosso si può trovare.
Rientrato c'è stata una notevole riorganizzazione aziendale, in primis dal punto di vista organizzativo, in secundis con l'avvio di una progetto per la realizzazione di un lab a Torino e di un successivo a Roma.
Questo mi ha portato a ripensare il mio progetto iniziale, a razionalizzare il numero di macchine usate, e a cercare di gestire al meglio l'hardware a disposizione. Il risultato è che ora solo a Trento abbiamo la metà dei server pur avendo mantenuto inalterata la capacità di archiviazione. Abbiamo inoltre riformattato tutte le macchine e siamo passati alla versione 11 di OpenSuSE e alla versione 1.4.8 di OpenAFS.
Poi sto aggiornando il mio libro. Oramai è un po' di tempo che è fuori e sono molte le migliorie che vanno assolutamente fatte. Procede anche se non velocemente come vorrei. Ad ogni modo l'esperienza di riorganizzare il lab si rifletterà in un nuovo progetto che troverete nel libro.
Ho spinto molto sul mobile forensics in questo periodo. Ho lavorato con UFED Cellbrite e ho cercato di replicare le funzioni che ti offre questo splendido apparecchio in una valigia usando un EEEPC e Oxygen Forensics Suite. Penso di essere sulla buona strada.
Ah, è uscita la DEFT 4 che mi ha quindi occupato per un certo periodo. Direi che come riassunto dovrebbe bastare...
Sono stati mesi molto densi, non solo dal punto di vista lavorativo. Talmente densi che il blog è stato l'ultimo dei miei pensieri. dunque in primis sono andato in ferie. Ci voleva :-P
La meta di quest'anno è stato il Mar Rosso. Mi sono dilettato nel fare snorkeling e immersione in ARA. Penso di aver fatto l'immersione più bella della mia vita al Thistlegorm, un relitto di una nave mercantile inglese affondata durante la II guerra mondiale. Una immersione che unisce la visita ad un relitto incredibile, l'immersione in un pezzo della nostra storia e il bearsi di una fauna che solo nel Mar Rosso si può trovare.
Rientrato c'è stata una notevole riorganizzazione aziendale, in primis dal punto di vista organizzativo, in secundis con l'avvio di una progetto per la realizzazione di un lab a Torino e di un successivo a Roma.
Questo mi ha portato a ripensare il mio progetto iniziale, a razionalizzare il numero di macchine usate, e a cercare di gestire al meglio l'hardware a disposizione. Il risultato è che ora solo a Trento abbiamo la metà dei server pur avendo mantenuto inalterata la capacità di archiviazione. Abbiamo inoltre riformattato tutte le macchine e siamo passati alla versione 11 di OpenSuSE e alla versione 1.4.8 di OpenAFS.
Poi sto aggiornando il mio libro. Oramai è un po' di tempo che è fuori e sono molte le migliorie che vanno assolutamente fatte. Procede anche se non velocemente come vorrei. Ad ogni modo l'esperienza di riorganizzare il lab si rifletterà in un nuovo progetto che troverete nel libro.
Ho spinto molto sul mobile forensics in questo periodo. Ho lavorato con UFED Cellbrite e ho cercato di replicare le funzioni che ti offre questo splendido apparecchio in una valigia usando un EEEPC e Oxygen Forensics Suite. Penso di essere sulla buona strada.
Ah, è uscita la DEFT 4 che mi ha quindi occupato per un certo periodo. Direi che come riassunto dovrebbe bastare...
Iscriviti a:
Post (Atom)
