Argomento che poco centra con la forense.
Sto lavorando ad un sistema informativo che eroghi contenuti multimediali su Internet. Dato che la primaria funzione del sistema è quella di distribuire contenuti video live (no niente videochat, pervertiti ;-P), ho scelto di lavorare con Mac OSX Server che incorpora Quicktime Streaming Server e Podcast Producer.
Ora dato che il budget per l'intero sistema non è elevato, si è deciso di lavorare con due Mac Mini piuttosto pompati piuttosto di lavorare con due XServe, ben più costosi.
Daltronde un Macmini nuovo con chipset nvidia 4 Gb di RAM e un core 2 duo da oltre 2 Ghz dispone di potenza sufficiente per poter gestire un video server con risoluzioni non troppo elevate per la trasmissione di seminari e conferenze.
Il problema è questo. Mac OSX Server versione boxed è distribuito in versione 10.5.4, che non supporta l'hardware del Mac Mini (supportato dalla versione 10.5.6 di Leopard). Quindi niente boot diretto.
Come si installa? Il primo modo che mi appare semplice è quello di fare boot con il Leopard installato normalmente sul Macmini, inserire il CD di Mac OSX Server e installarlo come aggiornamento. Tutto appare filare liscio. QTSS funziona ecc. ecc. ma poi, quando attivo il directory service per la gestione degli utenti, non ci sono santi. Kerberos si rifiuta di partire e va in coredump con un signal 11.
Passo tutto lo week end a leggere documentazione. Nulla di risolutivo. Il Kerberos ha comportamenti assurdi, non parte e le utility muoiono con un signal 11 oppure con un "bus error".
Mi convinco che il problema deve essere legato al metodo di installazione del sistema operativo. Devo riuscire ad installare Mac OSX Server direttamente sul Mac Mini, senza passare dal boot di una versione client più aggiornata. Come fare?
Dispongo di un MacBook Core 2 Duo prima serie (Basato su Intel GMA 945) e di un nuovo Mac Book White 2009 con chipset nvidia. Il secondo non fa boot manco a sberle. Condivide lo stesso hardware del macmini e quindi il 10.5.4 non lo supporta. Il primo funziona. Ma il MacBook ha una interfaccia Firewire 400, il Macmini una Firewire 800. L'unica cosa che ho qui con una Firewire 800 è un LaCie 2 Big a tripla interfaccia che però non ha il Firewire 400 (Firewire 800, USB 2, eSATA). Sigh!
Allora, prendo un disco esterno con interfaccia USB/Firewire 400. Installo Mac OSX Server sul disco esterno collegato al vecchio Macbook. Riesco a fare boot dal disco esterno dato che è dotato di interfaccia Firewire 400. A questo punto installo il combo update per portare il sistema alla 10.5.6. Non configuro alcun servizio.
Ora collego il disco esterno via USB al Macmini. Tento inutilmente di fare boot via USB. Allora inserisco il disco di ripristino del sistema fornito con il Macmini. Avvio l'installazione, chiamo Disk Utility, punto sul disco interno, clicco ripristina, uso come sorgente il disco esterno e avvio la copia.
Terminata, faccio reboot. Mac OSX Server si avvia regolarmente.
Aggiorno il sistema alla 10.5.7, configuro il DNS (Kerberos non funziona se vi sono problemi di name resolution), avvio il servizio di Open Directory configurato come "Open Directory Master". Kerberos si avvia perfettamente e tutto funziona.
Wow...
... ora devo solo spiegare a mia moglie perchè ho passato tutto lo week end in casa invece di portare lei e i bimbi al lago...
Pila
Contatti
lunedì 22 giugno 2009
Cybercop 2009, il gioco II parte
"Avevo detto domani? Chi io? Nooooo..."
Intanto che i miei colleghi facevano richiesta al pm di ottenere i tabulati del mio telefono per dimostrare che io non avevo tradito nessuno, io mi dedicavo a facebook.
Mi è veniva un colpo di genio e gli mandavo un messaggio dicendogli che avevamo una amica in comune di nome xxxx, dove xxxx era il nome di donna trovato nella SIM. L'amicizia veniva subito confermata.
Da qui si notavano subito le foto incriminanti che erano sparite dal sito originale. Il problema ora era rintracciare la persona. Nelle informazioni del profilo appare una mail di hotmail. I miei colleghi provvedevano subito a chiedere le generalità a Microsoft.
Nel sito vi erano due video. Il primo è un trailer di "Ghost". Alla fine si nota una frase "Andate a vedere GOST al CINEMA". Purtroppo non vi ho fatto particolarmente attenzione... sigh
Guardando il secondo video, un trailer di "Ghost Raider", si notava un fotogramma con un enorme QRCode. Ohhhhh. Abbiamo cercato alcuni programmi per leggere QRCode. Ne abbiamo trovato uno in java che usa la videocamerea del macbook. Ho provveduto a stampare il QRCode e a leggerlo con la videocamera. Niente...
Per fortuna Luigi se ne andava dal PM con una pila di atti lasciando in bella mostrail suo Nokia E90. Mentre sbattevo la testa sul tavolo vedevo l'oggetto e mi tornava in mente il fatto che ha a bordo un programma per leggere QRCode. Lo ho puntato sul fotogramma et voilà, ecco un bell'indirizzo e-mail facente capo a Microsoft.
Luigi a questo punto provvedeva a fare una rogatori internazionale per richiedere generalità dell'account e sequestro della posta elettronica. Si noti che se per le generalità dell'account è sufficiente chiedere a Microsoft Italia per ottenere anche la posta elettronica è doveroso chiedere alla casa madre negli Stati Uniti.
Le informazioni ottenute riguardavano principalmente l'indirizzo ip usato per aprire l'account. Solo che l'ora del server è quella di Chicago. Alcuni qui si perdono e non effettuano la conversione ottenendo quindi dal provider italiano l'account sbagliato.
Si effettuava la "perquisizione" e se ne esce con un pendrive. Appariva subito un file system piuttosto strano, come se vi fosse stato un pezzo di un disco Windows sulla chiavetta. Dopo un po' di ricerche appariva evidente che si trattasse di "Mojopac" un metodo per disporre di un PC privato. Si infila la chiavetta in una qualunque sistema Windows e avviando l'applicazione si trova sempre lo stesso ambiente, separato dal pc ospite.
Qui si presentavano delle difficoltà dato che non era possibile usare la penna originale e per duplicarla senza incorrere in problemi era necessario trovare un supporto perfettamente identico. Inoltre il Mojopac conteneva un trojan che, se avviato su una macchina con la connessione Internet attiva spediva i dati relativi al c su cui era stato avviato. Per fortuna noi avevamo solo una macchina in rete.
Litiano provvedeva a questo punto ad analizzare la penna a livello di filesystem, io avviavo il mojopac. Entrambi abbiamo trovato subito alcune delle foto presenti sul sito. Ora la parte difficile era capire che una di queste era più grande di quella sul sito. Capito questo si poteva trovare invisible secret installato, bastava scegliere GOST come algoritmo steganografico e CINEMA come pass e si poteva aprire il gestore di password sicure di invisible secret con tutti gli account. Ma io ero distratto e avevamo poco tempo...
Litiano però con X-Ways forensics aveva trovato una marea di cookies che dimostravano inequivocabilmente che la persona che possedeva tale penna si era collegata con username e password:
1- Nel sito di altervista (anche via ftp dato che c'era un Wu-FTP già configurato e mancante solo della pass)
2- Nel profilo di FaceBook di Mario MGX Rossi
3- Nel profilo di Youtube contenente i due filmati presenti su Facebook
4- Nella Webmail di Microsoft
Elementi più che sufficienti per poter incastrare la persona.
Intanto che i miei colleghi facevano richiesta al pm di ottenere i tabulati del mio telefono per dimostrare che io non avevo tradito nessuno, io mi dedicavo a facebook.
Mi è veniva un colpo di genio e gli mandavo un messaggio dicendogli che avevamo una amica in comune di nome xxxx, dove xxxx era il nome di donna trovato nella SIM. L'amicizia veniva subito confermata.
Da qui si notavano subito le foto incriminanti che erano sparite dal sito originale. Il problema ora era rintracciare la persona. Nelle informazioni del profilo appare una mail di hotmail. I miei colleghi provvedevano subito a chiedere le generalità a Microsoft.
Nel sito vi erano due video. Il primo è un trailer di "Ghost". Alla fine si nota una frase "Andate a vedere GOST al CINEMA". Purtroppo non vi ho fatto particolarmente attenzione... sigh
Guardando il secondo video, un trailer di "Ghost Raider", si notava un fotogramma con un enorme QRCode. Ohhhhh. Abbiamo cercato alcuni programmi per leggere QRCode. Ne abbiamo trovato uno in java che usa la videocamerea del macbook. Ho provveduto a stampare il QRCode e a leggerlo con la videocamera. Niente...
Per fortuna Luigi se ne andava dal PM con una pila di atti lasciando in bella mostrail suo Nokia E90. Mentre sbattevo la testa sul tavolo vedevo l'oggetto e mi tornava in mente il fatto che ha a bordo un programma per leggere QRCode. Lo ho puntato sul fotogramma et voilà, ecco un bell'indirizzo e-mail facente capo a Microsoft.
Luigi a questo punto provvedeva a fare una rogatori internazionale per richiedere generalità dell'account e sequestro della posta elettronica. Si noti che se per le generalità dell'account è sufficiente chiedere a Microsoft Italia per ottenere anche la posta elettronica è doveroso chiedere alla casa madre negli Stati Uniti.
Le informazioni ottenute riguardavano principalmente l'indirizzo ip usato per aprire l'account. Solo che l'ora del server è quella di Chicago. Alcuni qui si perdono e non effettuano la conversione ottenendo quindi dal provider italiano l'account sbagliato.
Si effettuava la "perquisizione" e se ne esce con un pendrive. Appariva subito un file system piuttosto strano, come se vi fosse stato un pezzo di un disco Windows sulla chiavetta. Dopo un po' di ricerche appariva evidente che si trattasse di "Mojopac" un metodo per disporre di un PC privato. Si infila la chiavetta in una qualunque sistema Windows e avviando l'applicazione si trova sempre lo stesso ambiente, separato dal pc ospite.
Qui si presentavano delle difficoltà dato che non era possibile usare la penna originale e per duplicarla senza incorrere in problemi era necessario trovare un supporto perfettamente identico. Inoltre il Mojopac conteneva un trojan che, se avviato su una macchina con la connessione Internet attiva spediva i dati relativi al c su cui era stato avviato. Per fortuna noi avevamo solo una macchina in rete.
Litiano provvedeva a questo punto ad analizzare la penna a livello di filesystem, io avviavo il mojopac. Entrambi abbiamo trovato subito alcune delle foto presenti sul sito. Ora la parte difficile era capire che una di queste era più grande di quella sul sito. Capito questo si poteva trovare invisible secret installato, bastava scegliere GOST come algoritmo steganografico e CINEMA come pass e si poteva aprire il gestore di password sicure di invisible secret con tutti gli account. Ma io ero distratto e avevamo poco tempo...
Litiano però con X-Ways forensics aveva trovato una marea di cookies che dimostravano inequivocabilmente che la persona che possedeva tale penna si era collegata con username e password:
1- Nel sito di altervista (anche via ftp dato che c'era un Wu-FTP già configurato e mancante solo della pass)
2- Nel profilo di FaceBook di Mario MGX Rossi
3- Nel profilo di Youtube contenente i due filmati presenti su Facebook
4- Nella Webmail di Microsoft
Elementi più che sufficienti per poter incastrare la persona.
Iscriviti a:
Post (Atom)
