SlideShare a Scribd company logo

Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux

Sandro Rossetti
Sandro Rossetti
1 of 32
Download to read offline
Marco Giorgi Palazzo di Giustizia di Torino 30 marzo 2012
 Post mortem (Dopo lo spegnimento del sistema) ◦ Si smonta il dispositivo e lo si collega ad un PC dedicato all'acquisizione  On the fly (Direttamente sul sistema posto ad analisi) ◦ Nel caso di sistemi RAID l'acquisizione "al volo" è quasi obbligatoria  Su network ◦ Sia nel caso di acquisizione post mortem, sia nel caso di acquisizione on the fly è possibile salvare l'output direttamente durante la fase di acquisizione in altri PC o dischi della LAN appositamente configurati ◦ Gli strumenti utilizzati sono ◦ netcat ◦ ssh 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 2
 Individuazione del device da acquisire  Essere certi di avere accesso in sola lettura al device  Calcolo hash del device  Acquisizione del device con creazione hash  Verifica degli hash calcolati  Copia su un altro supporto dell’immagine acquisita con relativa verifica hash 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 3
 Gruppo di continuità ◦ Tutti i sistemi ed i dispositivi utilizzati per l'acquisizione vanno collegati ad un gruppo di continuità  Write blocker hardware ◦ Un write blocker è un dispositivo hardware che viene collegato al disco da acquisire in modo da bloccarne l'accesso in scrittura ◦ Possibilmente deve essere certificato dal Dipartimento della Giustizia U.S.A.  Adattatori di ogni genere o almeno quelli più comuni ◦ SATA, IDE, SAS, Firewire, USB  Tanto spazio su hard disk locale o su rete (PC dedicato o NAS) per memorizzare i dati acquisiti 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 4
30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 5
A causa delle limitazioni fisiche del supporto di destinazione (es. backup su DVD) oppure per motivi di compatibilità di filesystem (es. FAT32, nel caso in cui più periti debbano lavorare con sistemi eterogenei), l’immagine deve essere divisa in file più piccoli. E’ possibile dividerla direttamente in fase di acquisizione utilizzando il comando split. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 6 #dd if=/dev/sda | split -d -b 4500m - image.split. Nel caso dell'utilizzo di tool di acquisizione più evoluti (es. dcfldd, ewfaquire, aimage, guymager) è possibile dividere le immagini nativamente senza l’uso di altri tools.
 Garantisce che la copia del device sia inalterata ed identica all'originale  Si utilizzano funzioni hash  Gli algoritmi più utilizzati sono MD5 e SHA-1, ma ne esistono altri  E' possibile ripetere la verifica sulle copie forensi o sui supporti originali in qualsiasi momento per dimostrare che i dati non sono stati alterati 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 7
 L'algoritmo restituisce una stringa di numeri e lettere (detto digest) a partire da un qualsiasi flusso di bit di qualsiasi dimensione finita  La stringa di output è univoca per ogni documento identificandolo. Perciò, l'algoritmo è utilizzabile per la firma digitale  La lunghezza del digest varia a seconda degli algoritmi utilizzati  L'algoritmo non è invertibile, cioè non si può ricavare la sequenza di bit in ingresso a partire dal digest 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 8
 MD5 (RFC 1321) Prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 128 bit (con lunghezza fissa di 32 valori esadecimali, indipendentemente dalla stringa di input)  SHA-1 (RFC 3174) Prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 160 bit (con lunghezza fissa di 40 valori esadecimali, indipendentemente dalla stringa di input) 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 9
 Quando due sequenze di bit differenti generano lo stesso hash si parla di collisione  La qualità di una funzione di hash è misurata direttamente in base alla difficoltà nell'individuare due testi che generino una collisione  Si è riusciti a generare una collisione negli algoritmi HAVAL, RIPEMD, MD2, MD4, MD5 e SHA-1 dimostrando che non sono sicuri 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 10
Per ovviare a problemi di collisione si devono:  Usare algoritmi più sofisticati (ma spesso la legge considera validi solo alcuni algoritmi)  Validare i risultati con due algoritmi diversi ◦ Impossibile generare una collisione per entrambi gli hash contemporaneamente 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 11
Per verificare l’integrità di un’immagine è possibile procedere in diversi modi: 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 12 #afinfo –v image.aff # md5sum image.dd # sha1sum image.dd #ewfverify image.E01 RAW: EWF: AFF: E’ possibile verificare l’hash delle immagini anche con Dhash importando il file contenente l’hash da verificare e indicando il file immagine o il device
Fare sempre un’ulteriore copia dell’immagine acquisita e verificarne l'integrità 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 13
I formati di acquisizione più utilizzati sono:  RAW  EWF (Expert Witness Compression)  AFF (Advanced Forensics Format) 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 14
RAW  Copia bit a bit del device da acquisire  Nessuna compressione  E' supportato da tutti i tools di analisi forense  Non supporta i metadati all'interno dell'immagine 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 15
EWF (Expert Witness Compression)  Standard de facto per le analisi forensi  E' supportato dai software di analisi open source (Autopsy, PyFlag)  E' supportato dai software commerciali (EnCase, Ftk, ecc...)  E' possibile includere metadati (anche se in modo limitato) nell'immagine acquisita: ◦ Data/ora acquisizione ◦ Nome esaminatore ◦ Note extra ◦ Password ◦ Hash MD5 dell'intera immagine  Supporta la compressione dell'immagine  Ricerca all'interno dell'immagine acquisita  Immagini divisibili e "montabili" al volo  Formato proprietario (la compatibilità è ottenuta tramite il reverse engineering)  30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 16
AFF (Advanced Forensics Format)  E' supportato dai software open source  Supporta la compressione dell'immagine  Supporta la cifratura dell'immagine  Dimensione immagine illimitata (non è necessario splittare)  Immagini divisibili  E' possibile includere un numero illimitato di metadati (anche in un file xml separato)  Formato open source  30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 17
Riga di comando ◦ dd ◦ dcfldd ◦ dc3dd ◦ ddrescue ◦ dd_rescue ◦ ewfaquire ◦ aimage ◦ cyClone 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 18 GUI ◦ dhash ◦ guymager
dd è il padre di tutti i tools di acquisizione, consente di acquisire i dati bit a bit in formato raw. Nativamente non supporta la compressione dei dati, ma è possibile comprimere il data stream tramite l’uso delle pipe. #dd if=/dev/sda - | bzip2 > /mnt/image.dd.bz2 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 19
 Evoluzione di dd  Permette di riversare il contenuto di un disco direttamente su di un’altro  Permette l'acquisizione di memorie di massa che presentano errori durante l'accesso a determinati settori del disco impostando su zero i bit non leggibili  Durante l’acquisizione della memoria l'applicazione fornisce aggiornamenti su quanti byte sono stati letti e scritti, quanti errori di lettura sono stati riscontrati e la velocità di acquisizione calcolata per byte/s. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 20
 Evoluzione di dd  Non è legato allo sviluppo di ddrescue  Non salta semplicemente il blocco danneggiato, ma tenta di leggerlo ricorrendo a tecniche diverse (es. variando dinamicamente la lunghezza dei blocchi)  Durante l’acquisizione della memoria l'applicazione fornisce informazioni sullo stato delle operazioni correnti. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 21
30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 22 dcfldd è una versione avanzata di dd sviluppata dal Dipartimento della Difesa degli U.S.A.  Calcolo al volo degli hash (MD5, SHA-1) dell’immagine  Indicatore di avanzamento sui dati acquisiti  Output simultaneo su più file (o dischi)  Output divisibile in più file  Log
30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 23 # dd if=/dev/sda of=image.dd # dcfldd if=/dev/sda hash=md5,sha256 md5log=image.md5 sha256log=image.sha256 of=/mnt/image.dd  Su rete  Locale #dd if=/dev/sda - | ssh user@192.168.1.20 “cat > /mnt/img/image.dd” #nc -l -p 2525 | dd of=/mnt/store/image.dd #dd if=/dev/sda bs=512 | nc $ip_server 2525 Server Client
Wizard per l’acquisizione guidata che permette di effettuare l’acquisizione delle immagini rispondendo a semplici domande visualizzate a video  Acquisizione in diversi formati (raw, ewf, aff)  Compressione (ewf, aff)  Calcolo hash  Log 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 24
30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 25  Acquisizione in formato raw (dd)  Consente compressione (bz2)  Calcolo hash ◦ MD5 ◦ SHA-1 ◦ SFV  Calcolo del tempo residuo di acquisizione  10% più veloce nel calcolo degli hash rispetto a gli altri tools  Log
30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 26
30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 27
30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 28  Acquisizione in diversi formati: ◦ raw ◦ ewf ◦ aff  Calcolo hash: ◦ MD5 ◦ SHA-256  Inserimento metadati per formato ewf  Split per formato ewf  Utile nel caso in cui si debba fare più di un’acquisizione contemporaneamente  Personalizzabile tramite file di configurazione  Log
30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 29
30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 30
30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 31
blackmoon.105@gmail.com 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 32 Marco Giorgi

Recommended

Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
Corso linux base
Corso linux baseCorso linux base
Corso linux baseBeniamino Ferrari
 
Corso Linux
Corso LinuxCorso Linux
Corso Linuxagnelloe
 
Introduzione a Linux: differenze con windows e strumenti per la programmazione
Introduzione a Linux: differenze con windows e strumenti per la programmazioneIntroduzione a Linux: differenze con windows e strumenti per la programmazione
Introduzione a Linux: differenze con windows e strumenti per la programmazioneValerio Bruno
 
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...caioturtle
 
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014Janhu Silvio Crispiatico
 
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...Sandro Rossetti
 
Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1I.S.I.S. "Antonio Serra" - Napoli
 

Recommended

Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
Corso linux base
Corso linux baseCorso linux base
Corso linux baseBeniamino Ferrari
 
Corso Linux
Corso LinuxCorso Linux
Corso Linuxagnelloe
 
Introduzione a Linux: differenze con windows e strumenti per la programmazione
Introduzione a Linux: differenze con windows e strumenti per la programmazioneIntroduzione a Linux: differenze con windows e strumenti per la programmazione
Introduzione a Linux: differenze con windows e strumenti per la programmazioneValerio Bruno
 
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...caioturtle
 
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014Janhu Silvio Crispiatico
 
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...Sandro Rossetti
 
Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1I.S.I.S. "Antonio Serra" - Napoli
 
Comunicacion interactiva
Comunicacion interactivaComunicacion interactiva
Comunicacion interactivaMaria Rossana
 
3 c the inertial balance
3 c the inertial balance3 c the inertial balance
3 c the inertial balancebottoni1c
 
PPP The Sequel
PPP The SequelPPP The Sequel
PPP The SequelBria Hand
 
Practice task 6-Bonfire Night
Practice task 6-Bonfire NightPractice task 6-Bonfire Night
Practice task 6-Bonfire NightMariola-Ibanez
 
Alcanzando mis metas
Alcanzando mis metasAlcanzando mis metas
Alcanzando mis metasAnng04
 
LI2DAY Walk to Fight Breast Cancer Names South Nassau a Beneficiary
LI2DAY Walk to Fight Breast Cancer Names South Nassau a BeneficiaryLI2DAY Walk to Fight Breast Cancer Names South Nassau a Beneficiary
LI2DAY Walk to Fight Breast Cancer Names South Nassau a BeneficiarySouth Nassau Communities Hospital
 
Ejemplos
EjemplosEjemplos
EjemplosWilfredo Alfonzo
 
Cita bibliografica
Cita bibliografica Cita bibliografica
Cita bibliografica Katie Moreno
 
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicDeftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicSandro Rossetti
 
Ejemplo de red mal instalada
Ejemplo de red mal instaladaEjemplo de red mal instalada
Ejemplo de red mal instaladaIvanfcf
 
Protocolo sesiones especiales harold muriel
Protocolo sesiones especiales harold murielProtocolo sesiones especiales harold muriel
Protocolo sesiones especiales harold murielHarold Muriel Restrepo
 
Etwinning project Towards the etwinning island
Etwinning project Towards the etwinning islandEtwinning project Towards the etwinning island
Etwinning project Towards the etwinning islandCarla Stella
 
К.И.Чуковский
К.И.ЧуковскийК.И.Чуковский
К.И.Чуковскийnatalya2208
 
Mener à bien un projet d'efficacité énegétique - Bâtiments et collectivités
Mener à bien un projet d'efficacité énegétique - Bâtiments et collectivitésMener à bien un projet d'efficacité énegétique - Bâtiments et collectivités
Mener à bien un projet d'efficacité énegétique - Bâtiments et collectivitésGimélec
 
Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...
Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...
Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...Bere Milan R
 
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowUna macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowluigi Ranzato
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberryOrazio Sarno
 
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Emanuele Florindi
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)Stefano Dall'Agata
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Hardening
HardeningHardening
HardeningNaLUG
 
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linuxTrace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linuxDeveler S.r.l.
 

More Related Content

Viewers also liked

Comunicacion interactiva
Comunicacion interactivaComunicacion interactiva
Comunicacion interactivaMaria Rossana
 
3 c the inertial balance
3 c the inertial balance3 c the inertial balance
3 c the inertial balancebottoni1c
 
PPP The Sequel
PPP The SequelPPP The Sequel
PPP The SequelBria Hand
 
Practice task 6-Bonfire Night
Practice task 6-Bonfire NightPractice task 6-Bonfire Night
Practice task 6-Bonfire NightMariola-Ibanez
 
Alcanzando mis metas
Alcanzando mis metasAlcanzando mis metas
Alcanzando mis metasAnng04
 
LI2DAY Walk to Fight Breast Cancer Names South Nassau a Beneficiary
LI2DAY Walk to Fight Breast Cancer Names South Nassau a BeneficiaryLI2DAY Walk to Fight Breast Cancer Names South Nassau a Beneficiary
LI2DAY Walk to Fight Breast Cancer Names South Nassau a BeneficiarySouth Nassau Communities Hospital
 
Cita bibliografica
Cita bibliografica Cita bibliografica
Cita bibliografica Katie Moreno
 
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicDeftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicSandro Rossetti
 
Ejemplo de red mal instalada
Ejemplo de red mal instaladaEjemplo de red mal instalada
Ejemplo de red mal instaladaIvanfcf
 
Protocolo sesiones especiales harold muriel
Protocolo sesiones especiales harold murielProtocolo sesiones especiales harold muriel
Protocolo sesiones especiales harold murielHarold Muriel Restrepo
 
Etwinning project Towards the etwinning island
Etwinning project Towards the etwinning islandEtwinning project Towards the etwinning island
Etwinning project Towards the etwinning islandCarla Stella
 
К.И.Чуковский
К.И.ЧуковскийК.И.Чуковский
К.И.Чуковскийnatalya2208
 
Mener à bien un projet d'efficacité énegétique - Bâtiments et collectivités
Mener à bien un projet d'efficacité énegétique - Bâtiments et collectivitésMener à bien un projet d'efficacité énegétique - Bâtiments et collectivités
Mener à bien un projet d'efficacité énegétique - Bâtiments et collectivitésGimélec
 
Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...
Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...
Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...Bere Milan R
 

Viewers also liked (15)

Comunicacion interactiva
Comunicacion interactivaComunicacion interactiva
Comunicacion interactiva
 
3 c the inertial balance
3 c the inertial balance3 c the inertial balance
3 c the inertial balance
 
PPP The Sequel
PPP The SequelPPP The Sequel
PPP The Sequel
 
Practice task 6-Bonfire Night
Practice task 6-Bonfire NightPractice task 6-Bonfire Night
Practice task 6-Bonfire Night
 
Alcanzando mis metas
Alcanzando mis metasAlcanzando mis metas
Alcanzando mis metas
 
LI2DAY Walk to Fight Breast Cancer Names South Nassau a Beneficiary
LI2DAY Walk to Fight Breast Cancer Names South Nassau a BeneficiaryLI2DAY Walk to Fight Breast Cancer Names South Nassau a Beneficiary
LI2DAY Walk to Fight Breast Cancer Names South Nassau a Beneficiary
 
Ejemplos
EjemplosEjemplos
Ejemplos
 
Cita bibliografica
Cita bibliografica Cita bibliografica
Cita bibliografica
 
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicDeftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
 
Ejemplo de red mal instalada
Ejemplo de red mal instaladaEjemplo de red mal instalada
Ejemplo de red mal instalada
 
Protocolo sesiones especiales harold muriel
Protocolo sesiones especiales harold murielProtocolo sesiones especiales harold muriel
Protocolo sesiones especiales harold muriel
 
Etwinning project Towards the etwinning island
Etwinning project Towards the etwinning islandEtwinning project Towards the etwinning island
Etwinning project Towards the etwinning island
 
К.И.Чуковский
К.И.ЧуковскийК.И.Чуковский
К.И.Чуковский
 
Mener à bien un projet d'efficacité énegétique - Bâtiments et collectivités
Mener à bien un projet d'efficacité énegétique - Bâtiments et collectivitésMener à bien un projet d'efficacité énegétique - Bâtiments et collectivités
Mener à bien un projet d'efficacité énegétique - Bâtiments et collectivités
 
Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...
Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...
Vulnerabilidad percibida de las Selvas Húmedas Tropicales y el valor relativ...
 

Similar to Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux

Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowUna macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowluigi Ranzato
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberryOrazio Sarno
 
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Emanuele Florindi
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)Stefano Dall'Agata
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Hardening
HardeningHardening
HardeningNaLUG
 
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linuxTrace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linuxDeveler S.r.l.
 
CodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
CodingGym - Lezione 1 - Corso Linux, Android e Internet of ThingsCodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
CodingGym - Lezione 1 - Corso Linux, Android e Internet of ThingsMirko Mancin
 
Guida al computer - Lezione 5 - Il disco rigido parte 1
Guida al computer - Lezione 5 - Il disco rigido parte 1Guida al computer - Lezione 5 - Il disco rigido parte 1
Guida al computer - Lezione 5 - Il disco rigido parte 1caioturtle
 
Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)Marcello Missiroli
 
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2016
 
Cenni di informatica generale
Cenni di informatica generaleCenni di informatica generale
Cenni di informatica generaleGiuseppe Vetti
 
Ivan Preziosi - Sviluppare un'architettura data driven in unity - Codemotion ...
Ivan Preziosi - Sviluppare un'architettura data driven in unity - Codemotion ...Ivan Preziosi - Sviluppare un'architettura data driven in unity - Codemotion ...
Ivan Preziosi - Sviluppare un'architettura data driven in unity - Codemotion ...Codemotion
 
Un Pinguino Nel Tuo Modem
Un Pinguino Nel Tuo ModemUn Pinguino Nel Tuo Modem
Un Pinguino Nel Tuo ModemMarco Scaloni
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine LearningCaffeina
 
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.Raul Cafini
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cuginidenis frati
 

Similar to Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux (20)

Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowUna macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberry
 
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...
 
Hardening
HardeningHardening
Hardening
 
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linuxTrace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
 
CodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
CodingGym - Lezione 1 - Corso Linux, Android e Internet of ThingsCodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
CodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
 
Guida al computer - Lezione 5 - Il disco rigido parte 1
Guida al computer - Lezione 5 - Il disco rigido parte 1Guida al computer - Lezione 5 - Il disco rigido parte 1
Guida al computer - Lezione 5 - Il disco rigido parte 1
 
Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)
 
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perduta
 
Cenni di informatica generale
Cenni di informatica generaleCenni di informatica generale
Cenni di informatica generale
 
Ivan Preziosi - Sviluppare un'architettura data driven in unity - Codemotion ...
Ivan Preziosi - Sviluppare un'architettura data driven in unity - Codemotion ...Ivan Preziosi - Sviluppare un'architettura data driven in unity - Codemotion ...
Ivan Preziosi - Sviluppare un'architettura data driven in unity - Codemotion ...
 
Pc piu sicuro
Pc piu sicuroPc piu sicuro
Pc piu sicuro
 
Un Pinguino Nel Tuo Modem
Un Pinguino Nel Tuo ModemUn Pinguino Nel Tuo Modem
Un Pinguino Nel Tuo Modem
 
Riutilizzo di risorve video
Riutilizzo di risorve videoRiutilizzo di risorve video
Riutilizzo di risorve video
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open source
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine Learning
 
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cugini
 

More from Sandro Rossetti

Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualSandro Rossetti
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Sandro Rossetti
 
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...Sandro Rossetti
 
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...Sandro Rossetti
 
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsSandro Rossetti
 
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...Sandro Rossetti
 
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineDeftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineSandro Rossetti
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsSandro Rossetti
 
Deftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4mostDeftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4mostSandro Rossetti
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Sandro Rossetti
 
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Sandro Rossetti
 
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Sandro Rossetti
 
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...Sandro Rossetti
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeSandro Rossetti
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Sandro Rossetti
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiSandro Rossetti
 
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...Sandro Rossetti
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Sandro Rossetti
 

More from Sandro Rossetti (18)

Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
 
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
 
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
 
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
 
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
 
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineDeftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
 
Deftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4mostDeftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4most
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
 
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
 
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
 
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
 
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
 

Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux

  • 1. Marco Giorgi Palazzo di Giustizia di Torino 30 marzo 2012
  • 2.  Post mortem (Dopo lo spegnimento del sistema) ◦ Si smonta il dispositivo e lo si collega ad un PC dedicato all'acquisizione  On the fly (Direttamente sul sistema posto ad analisi) ◦ Nel caso di sistemi RAID l'acquisizione "al volo" è quasi obbligatoria  Su network ◦ Sia nel caso di acquisizione post mortem, sia nel caso di acquisizione on the fly è possibile salvare l'output direttamente durante la fase di acquisizione in altri PC o dischi della LAN appositamente configurati ◦ Gli strumenti utilizzati sono ◦ netcat ◦ ssh 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 2
  • 3.  Individuazione del device da acquisire  Essere certi di avere accesso in sola lettura al device  Calcolo hash del device  Acquisizione del device con creazione hash  Verifica degli hash calcolati  Copia su un altro supporto dell’immagine acquisita con relativa verifica hash 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 3
  • 4.  Gruppo di continuità ◦ Tutti i sistemi ed i dispositivi utilizzati per l'acquisizione vanno collegati ad un gruppo di continuità  Write blocker hardware ◦ Un write blocker è un dispositivo hardware che viene collegato al disco da acquisire in modo da bloccarne l'accesso in scrittura ◦ Possibilmente deve essere certificato dal Dipartimento della Giustizia U.S.A.  Adattatori di ogni genere o almeno quelli più comuni ◦ SATA, IDE, SAS, Firewire, USB  Tanto spazio su hard disk locale o su rete (PC dedicato o NAS) per memorizzare i dati acquisiti 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 4
  • 5. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 5
  • 6. A causa delle limitazioni fisiche del supporto di destinazione (es. backup su DVD) oppure per motivi di compatibilità di filesystem (es. FAT32, nel caso in cui più periti debbano lavorare con sistemi eterogenei), l’immagine deve essere divisa in file più piccoli. E’ possibile dividerla direttamente in fase di acquisizione utilizzando il comando split. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 6 #dd if=/dev/sda | split -d -b 4500m - image.split. Nel caso dell'utilizzo di tool di acquisizione più evoluti (es. dcfldd, ewfaquire, aimage, guymager) è possibile dividere le immagini nativamente senza l’uso di altri tools.
  • 7.  Garantisce che la copia del device sia inalterata ed identica all'originale  Si utilizzano funzioni hash  Gli algoritmi più utilizzati sono MD5 e SHA-1, ma ne esistono altri  E' possibile ripetere la verifica sulle copie forensi o sui supporti originali in qualsiasi momento per dimostrare che i dati non sono stati alterati 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 7
  • 8.  L'algoritmo restituisce una stringa di numeri e lettere (detto digest) a partire da un qualsiasi flusso di bit di qualsiasi dimensione finita  La stringa di output è univoca per ogni documento identificandolo. Perciò, l'algoritmo è utilizzabile per la firma digitale  La lunghezza del digest varia a seconda degli algoritmi utilizzati  L'algoritmo non è invertibile, cioè non si può ricavare la sequenza di bit in ingresso a partire dal digest 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 8
  • 9.  MD5 (RFC 1321) Prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 128 bit (con lunghezza fissa di 32 valori esadecimali, indipendentemente dalla stringa di input)  SHA-1 (RFC 3174) Prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 160 bit (con lunghezza fissa di 40 valori esadecimali, indipendentemente dalla stringa di input) 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 9
  • 10.  Quando due sequenze di bit differenti generano lo stesso hash si parla di collisione  La qualità di una funzione di hash è misurata direttamente in base alla difficoltà nell'individuare due testi che generino una collisione  Si è riusciti a generare una collisione negli algoritmi HAVAL, RIPEMD, MD2, MD4, MD5 e SHA-1 dimostrando che non sono sicuri 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 10
  • 11. Per ovviare a problemi di collisione si devono:  Usare algoritmi più sofisticati (ma spesso la legge considera validi solo alcuni algoritmi)  Validare i risultati con due algoritmi diversi ◦ Impossibile generare una collisione per entrambi gli hash contemporaneamente 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 11
  • 12. Per verificare l’integrità di un’immagine è possibile procedere in diversi modi: 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 12 #afinfo –v image.aff # md5sum image.dd # sha1sum image.dd #ewfverify image.E01 RAW: EWF: AFF: E’ possibile verificare l’hash delle immagini anche con Dhash importando il file contenente l’hash da verificare e indicando il file immagine o il device
  • 13. Fare sempre un’ulteriore copia dell’immagine acquisita e verificarne l'integrità 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 13
  • 14. I formati di acquisizione più utilizzati sono:  RAW  EWF (Expert Witness Compression)  AFF (Advanced Forensics Format) 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 14
  • 15. RAW  Copia bit a bit del device da acquisire  Nessuna compressione  E' supportato da tutti i tools di analisi forense  Non supporta i metadati all'interno dell'immagine 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 15
  • 16. EWF (Expert Witness Compression)  Standard de facto per le analisi forensi  E' supportato dai software di analisi open source (Autopsy, PyFlag)  E' supportato dai software commerciali (EnCase, Ftk, ecc...)  E' possibile includere metadati (anche se in modo limitato) nell'immagine acquisita: ◦ Data/ora acquisizione ◦ Nome esaminatore ◦ Note extra ◦ Password ◦ Hash MD5 dell'intera immagine  Supporta la compressione dell'immagine  Ricerca all'interno dell'immagine acquisita  Immagini divisibili e "montabili" al volo  Formato proprietario (la compatibilità è ottenuta tramite il reverse engineering)  30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 16
  • 17. AFF (Advanced Forensics Format)  E' supportato dai software open source  Supporta la compressione dell'immagine  Supporta la cifratura dell'immagine  Dimensione immagine illimitata (non è necessario splittare)  Immagini divisibili  E' possibile includere un numero illimitato di metadati (anche in un file xml separato)  Formato open source  30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 17
  • 18. Riga di comando ◦ dd ◦ dcfldd ◦ dc3dd ◦ ddrescue ◦ dd_rescue ◦ ewfaquire ◦ aimage ◦ cyClone 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 18 GUI ◦ dhash ◦ guymager
  • 19. dd è il padre di tutti i tools di acquisizione, consente di acquisire i dati bit a bit in formato raw. Nativamente non supporta la compressione dei dati, ma è possibile comprimere il data stream tramite l’uso delle pipe. #dd if=/dev/sda - | bzip2 > /mnt/image.dd.bz2 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 19
  • 20.  Evoluzione di dd  Permette di riversare il contenuto di un disco direttamente su di un’altro  Permette l'acquisizione di memorie di massa che presentano errori durante l'accesso a determinati settori del disco impostando su zero i bit non leggibili  Durante l’acquisizione della memoria l'applicazione fornisce aggiornamenti su quanti byte sono stati letti e scritti, quanti errori di lettura sono stati riscontrati e la velocità di acquisizione calcolata per byte/s. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 20
  • 21.  Evoluzione di dd  Non è legato allo sviluppo di ddrescue  Non salta semplicemente il blocco danneggiato, ma tenta di leggerlo ricorrendo a tecniche diverse (es. variando dinamicamente la lunghezza dei blocchi)  Durante l’acquisizione della memoria l'applicazione fornisce informazioni sullo stato delle operazioni correnti. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 21
  • 22. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 22 dcfldd è una versione avanzata di dd sviluppata dal Dipartimento della Difesa degli U.S.A.  Calcolo al volo degli hash (MD5, SHA-1) dell’immagine  Indicatore di avanzamento sui dati acquisiti  Output simultaneo su più file (o dischi)  Output divisibile in più file  Log
  • 23. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 23 # dd if=/dev/sda of=image.dd # dcfldd if=/dev/sda hash=md5,sha256 md5log=image.md5 sha256log=image.sha256 of=/mnt/image.dd  Su rete  Locale #dd if=/dev/sda - | ssh user@192.168.1.20 “cat > /mnt/img/image.dd” #nc -l -p 2525 | dd of=/mnt/store/image.dd #dd if=/dev/sda bs=512 | nc $ip_server 2525 Server Client
  • 24. Wizard per l’acquisizione guidata che permette di effettuare l’acquisizione delle immagini rispondendo a semplici domande visualizzate a video  Acquisizione in diversi formati (raw, ewf, aff)  Compressione (ewf, aff)  Calcolo hash  Log 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 24
  • 25. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 25  Acquisizione in formato raw (dd)  Consente compressione (bz2)  Calcolo hash ◦ MD5 ◦ SHA-1 ◦ SFV  Calcolo del tempo residuo di acquisizione  10% più veloce nel calcolo degli hash rispetto a gli altri tools  Log
  • 26. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 26
  • 27. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 27
  • 28. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 28  Acquisizione in diversi formati: ◦ raw ◦ ewf ◦ aff  Calcolo hash: ◦ MD5 ◦ SHA-256  Inserimento metadati per formato ewf  Split per formato ewf  Utile nel caso in cui si debba fare più di un’acquisizione contemporaneamente  Personalizzabile tramite file di configurazione  Log
  • 29. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 29
  • 30. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 30
  • 31. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 31
  • 32. blackmoon.105@gmail.com 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 32 Marco Giorgi