SlideShare a Scribd company logo

deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Deft Association
Deft Association
Data & Analytics
1 of 40
Download to read offline
TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines Relatore: Federico Grattirio
Indice: Introduzione Architettura Sviluppi Cos’è una timeline ? A cosa serve ? Dove posso trovare le informazioni ? Come ottenere una timeline ? Analisi e problemi Tool disponibili Timeshark Case of study
Timeline nelle analisi forensi ● Metodo rapido e intuitivo per comprendere la sequenza degli eventi avvenuti in una determinata finestra temporale ● Ricostruire le attività di un utente o di un intruso ● Ricostruire le fasi di un attacco informatico ● Individuare il punto di compromissione originale ● Individuare le cause di un incidente ● Evidenziare incongruenze sintomo di attività illecite o antiforensics ● Gli eventi provengono da una pluralità di fonti eteronegee ● Gli eventi di natura digitale sono registrati in quantità tali da richiedere necessariamente una trattazione automatizzata ● Raccogliere una ricca base dati è ormai relativamente semplice… ● …elaborarla invece no Introduzione Architettura SviluppiCase of study
Dove posso trovare le informazioni ? ● Filesystem Introduzione Architettura SviluppiCase of study
Dove posso trovare le informazioni ? ● Filesystem ● File di log (sistema e applicazioni) Introduzione Architettura SviluppiCase of study
Dove posso trovare le informazioni ? ● Filesystem ● File di log (sistema e applicazioni) ● Cronologia e cache dei browser Introduzione Architettura SviluppiCase of study
Dove posso trovare le informazioni ? ● Filesystem ● File di log (sistema e applicazioni) ● Cronologia e cache dei browser ● Metadati interni ai documenti Introduzione Architettura SviluppiCase of study
Dove posso trovare le informazioni ? ● Filesystem ● File di log (sistema e applicazioni) ● Cronologia e cache dei browser ● Metadati interni ai documenti ● ...e molti altri, anche esterni al sistema in esame ● log dei provider, tabulati telefonici, sistemi di videosorveglianza… Introduzione Architettura SviluppiCase of study
Come ottenere una timeline ? Introduzione Architettura SviluppiCase of study
Analisi e problemi ● Grandi moli di dati ○ Timeline derivanti dal solo journal NTFS possono avere dai 500.000 a 2.000.000 eventi ● Grande varietà di formati in input ○ I timestamp sono registrati in formati diversi, che variano da sistema operativo, filesystem, applicazioni… ○ Le timeline possono provenire dai report di diversi tool di acquisizione o carving ○ Gli eventi possono essere stati registrati da diversi sistemi, con diversi fusi orari o time skew rilevanti ● Complessità di visualizzazione ● Complessità di analisi Introduzione Architettura SviluppiCase of study
Tool disponibili - Autopsy Introduzione Architettura SviluppiCase of study • Open source • Funzione ancora in beta (e si vede…) • Base dati limitata al filesystem • Accesso diretto alla sorgente dell’evento • Non permette di applicare filtri alla timeline • Non permette di evidenziare gli eventi • Disponibile solo per Windows e DEFT
Tool disponibili – Kibana Introduzione Architettura SviluppiCase of study • Open source e web based • Interfacciabile con Plaso/log2timeline • Altamente scalabile • Non disegnato specificamente per analisi forensi • Nessun accesso alla sorgente
Tool disponibili – 4n6time Introduzione Architettura SviluppiCase of study • Non è open source  • Buona integrazione coi backend • Interfaccia molto evoluta, ma ancora difettosa (navigazione visuale, accesso alla sorgente, gestione filtri, paginazione…) • Strumento potente, ma non adattabile
Tool disponibili – Aftertime Introduzione Architettura SviluppiCase of study • Sorgenti chiusi • Licenza d’uso fortemente limitante • Ottimo supporto agli artefatti, ma non estensibile • Interfaccia intuitiva, ma non priva di difetti (accesso alla sorgente, bookmark…) • Tempi di reazione insoddisfacenti
Tool disponibili - FTK Introduzione Architettura SviluppiCase of study • Raccolta dati basata su log2timeline • Accesso diretto alla sorgente • Interfaccia grafica scarsamente produttiva • Software proprietario • Disponibile solo per Windows
Tool disponibili - Encase Introduzione Architettura SviluppiCase of study • Interfaccia limitata, ma molto reattiva • Accesso diretto alla sorgente dell’evento • Base dati limitata ai timestamp del filesystem • Reportistica inadeguata • Software proprietario • Disponibile solo per Windows
Tool disponibili - Webscavator Introduzione Architettura SviluppiCase of study • Open source • Ottima interfaccia • Filtri preconfigurati e report intuitivi • Permette solo l’analisi di timeline derivanti da navigazione web
Tool disponibili - IEF Introduzione Architettura SviluppiCase of study • Lunghi tempi di caricamento • Interfaccia molto reattiva • Base dati ampia, ma comunque limitata ai risultati di IEF • Software proprietario • Disponibile solo per Windows
Timeshark ● Open source ● Multipiattaforma ● Tempi di risposta adeguati anche con grandi moli di dati ● Interfaccia punta e clicca, intuitivo, semplicità di utilizzo ● Possibilità di segnalare eventi sospetti ● Possibilità di aggregare più eventi ● Possibilità di filtrare e colorare gli eventi ● Possibilità di personalizzazione del software Introduzione Architettura SviluppiCase of study
Indice: Introduzione Architettura Sviluppi Struttura generale Plugin Tecnologie Case of study
Struttura generale ● Model: Gestione dei dati presenti nel database ● View: Gestione della visualizzazione dei dati ● Controller: Gestione della elaborazione dei dati ● Plugin managers: Gestione dei plugin Introduzione Architettura SviluppiCase of study
Plugin ● Caricati dinamicamente all’avvio di Timeshark ● Plugin scanner -> Permettono l’interpretazione di file in input ● Plugin filtro -> Permettono la creazione di filtri standard ● Plugin di visualizzazione -> Permettono la creazione di svariati punti di vista sul database ● Plugin di export -> Permettono l’esportazione dei dati nel formato desiderato Introduzione Architettura SviluppiCase of study
Tecnologie ● Python ○ Linguaggio di programmazione multipiattaforma ● Librerie Qt ○ Librerie grafiche multipiattaforma per lo sviluppo di interfacce grafiche ● SqLite ○ Libreria software per la creazione di un database relazionale Introduzione Architettura SviluppiCase of study
Indice: Introduzione Architettura SviluppiCase of study
Case of study Dati: ● Journal derivato da partizione NTFS Obiettivo: ● Ricavare eventi compresi tra le ore 07:27 e le ore 07:30 ● Evidenziare gli eventi di creazione file ● Segnalare tramite tag gli eventi che comprendono solo il tipo “file_created” Workflow: Creazione analisi Aggiunta file Aggiunta filtri Aggiunta tag Introduzione Architettura SviluppiCase of study
Creazione analisi Introduzione Architettura SviluppiCase of study
Creazione analisi Introduzione Architettura SviluppiCase of study
Aggiunta file Introduzione Architettura SviluppiCase of study
Aggiunta file Introduzione Architettura SviluppiCase of study
Aggiunta filtro Introduzione Architettura SviluppiCase of study
Aggiunta filtro Introduzione Architettura SviluppiCase of study
Aggiunta filtro Introduzione Architettura SviluppiCase of study
Aggiunta filtro Introduzione Architettura SviluppiCase of study
Aggiunta tag Introduzione Architettura SviluppiCase of study
Aggiunta tag Introduzione Architettura SviluppiCase of study
Export data Introduzione Architettura SviluppiCase of study
Results Introduzione Architettura SviluppiCase of study
Indice: Introduzione Architettura SviluppiCase of study
Sviluppi Sviluppi: ● Creazione di plugin di visualizzazione grafica delle timeline ● Creazione di plugin di visualizzazione di statistiche/sessioni presenti nei dati analizzati ● Creazione di plugin per l’importazione dei più comuni file derivanti da tool di estrazione e carving ● Creazione di plugin per l’esportazione in formato xml (con xsl) ● Link diretto alla sorgente dell’evento Introduzione Architettura SviluppiCase of study
Introduzione Architettura SviluppiCase of study Timeshark v. 0.1 Contatti: • Federico grattirio <federico.grattirio@gmail.com> Acknowledgement: • Antonio Barili • Davide Gabrini Domande ?

Recommended

deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
Deft Association
 
Lo stato dell' arte sulla documentazione dei progetti ICT
Lo stato dell' arte sulla documentazione dei progetti ICTLo stato dell' arte sulla documentazione dei progetti ICT
Lo stato dell' arte sulla documentazione dei progetti ICT
Matteo Gentile
 
Banca Dati Informagiovani Piemonte
Banca Dati Informagiovani PiemonteBanca Dati Informagiovani Piemonte
Banca Dati Informagiovani Piemonte
Marcello Testi
 
Drupal Day 2011 - La banca dati Informagiovani del Piemonte
Drupal Day 2011 - La banca dati Informagiovani del PiemonteDrupal Day 2011 - La banca dati Informagiovani del Piemonte
Drupal Day 2011 - La banca dati Informagiovani del Piemonte
DrupalDay
 
Nord-Est Italy Seminars 2012
Nord-Est Italy Seminars 2012Nord-Est Italy Seminars 2012
Nord-Est Italy Seminars 2012alexzio
 
Schedule - Progetto di Linguaggi e Modelli Computazionali M
Schedule - Progetto di Linguaggi e Modelli Computazionali MSchedule - Progetto di Linguaggi e Modelli Computazionali M
Schedule - Progetto di Linguaggi e Modelli Computazionali M
Daniele Campogiani
 
CMDBuid Significato di una soluzione open source per la gestione del CMDB
CMDBuid Significato di una soluzione open source per la gestione del CMDBCMDBuid Significato di una soluzione open source per la gestione del CMDB
CMDBuid Significato di una soluzione open source per la gestione del CMDB
CMDBuild org
 
Logstash: Progetto open per l'analisi dei log in tempo reale di architetture ...
Logstash: Progetto open per l'analisi dei log in tempo reale di architetture ...Logstash: Progetto open per l'analisi dei log in tempo reale di architetture ...
Logstash: Progetto open per l'analisi dei log in tempo reale di architetture ...Stefano Dindo
 

Recommended

deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
Deft Association
 
Lo stato dell' arte sulla documentazione dei progetti ICT
Lo stato dell' arte sulla documentazione dei progetti ICTLo stato dell' arte sulla documentazione dei progetti ICT
Lo stato dell' arte sulla documentazione dei progetti ICT
Matteo Gentile
 
Banca Dati Informagiovani Piemonte
Banca Dati Informagiovani PiemonteBanca Dati Informagiovani Piemonte
Banca Dati Informagiovani Piemonte
Marcello Testi
 
Drupal Day 2011 - La banca dati Informagiovani del Piemonte
Drupal Day 2011 - La banca dati Informagiovani del PiemonteDrupal Day 2011 - La banca dati Informagiovani del Piemonte
Drupal Day 2011 - La banca dati Informagiovani del Piemonte
DrupalDay
 
Nord-Est Italy Seminars 2012
Nord-Est Italy Seminars 2012Nord-Est Italy Seminars 2012
Nord-Est Italy Seminars 2012alexzio
 
Schedule - Progetto di Linguaggi e Modelli Computazionali M
Schedule - Progetto di Linguaggi e Modelli Computazionali MSchedule - Progetto di Linguaggi e Modelli Computazionali M
Schedule - Progetto di Linguaggi e Modelli Computazionali M
Daniele Campogiani
 
CMDBuid Significato di una soluzione open source per la gestione del CMDB
CMDBuid Significato di una soluzione open source per la gestione del CMDBCMDBuid Significato di una soluzione open source per la gestione del CMDB
CMDBuid Significato di una soluzione open source per la gestione del CMDB
CMDBuild org
 
Logstash: Progetto open per l'analisi dei log in tempo reale di architetture ...
Logstash: Progetto open per l'analisi dei log in tempo reale di architetture ...Logstash: Progetto open per l'analisi dei log in tempo reale di architetture ...
Logstash: Progetto open per l'analisi dei log in tempo reale di architetture ...Stefano Dindo
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
ManlioSantonastaso
 
Visual Studio Performance Tools
Visual Studio Performance ToolsVisual Studio Performance Tools
Visual Studio Performance Tools
Andrea Tosato
 
Introduzione al web (2/2) - 18/19
Introduzione al web (2/2) - 18/19Introduzione al web (2/2) - 18/19
Introduzione al web (2/2) - 18/19
Giuseppe Vizzari
 
Erlug
ErlugErlug
Erlug
Linuxaria.com
 
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...daniel_zotti
 
Confio Ignite - webinar by Matteo Durighetto
Confio Ignite - webinar by Matteo DurighettoConfio Ignite - webinar by Matteo Durighetto
Confio Ignite - webinar by Matteo DurighettoMiriade Spa
 
Il nuovo catalogo della rete URBS - La migrazione akoha
Il nuovo catalogo della rete URBS - La migrazione akohaIl nuovo catalogo della rete URBS - La migrazione akoha
Il nuovo catalogo della rete URBS - La migrazione akoha
Andrea Marchitelli
 
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineDeftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineSandro Rossetti
 
5 - Introduzione al Web (2/2) - 17/18
5 - Introduzione al Web (2/2) - 17/185 - Introduzione al Web (2/2) - 17/18
5 - Introduzione al Web (2/2) - 17/18
Giuseppe Vizzari
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
Java&Solidarieta
Java&SolidarietaJava&Solidarieta
Java&Solidarieta
Andrea Del Bene
 
5 - Introduzione al Web (2/2)
5 - Introduzione al Web (2/2)5 - Introduzione al Web (2/2)
5 - Introduzione al Web (2/2)
Giuseppe Vizzari
 
SQL Saturday 2019 - Event Processing with Spark
SQL Saturday 2019 - Event Processing with SparkSQL Saturday 2019 - Event Processing with Spark
SQL Saturday 2019 - Event Processing with Spark
Alessio Biasiutti
 
Creare un Information Radiator con Delphi
Creare un Information Radiator con DelphiCreare un Information Radiator con Delphi
Creare un Information Radiator con Delphi
Marco Breveglieri
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine Learning
Caffeina
 
Big data analytics quanto vale e come sfruttarlo con stream analytics e power bi
Big data analytics quanto vale e come sfruttarlo con stream analytics e power biBig data analytics quanto vale e come sfruttarlo con stream analytics e power bi
Big data analytics quanto vale e come sfruttarlo con stream analytics e power bi
Marco Pozzan
 
PoC IoT in 1 ora
PoC IoT in 1 oraPoC IoT in 1 ora
PoC IoT in 1 ora
Alessio Biasiutti
 
iot Saturday 2019 - PoC iot in 1 ora
iot Saturday 2019 - PoC iot in 1 oraiot Saturday 2019 - PoC iot in 1 ora
iot Saturday 2019 - PoC iot in 1 ora
Alessio Biasiutti
 
Caso reale di migrazione da Windows a sistemi Open Source in azienda
Caso reale di migrazione da Windows a sistemi Open Source in aziendaCaso reale di migrazione da Windows a sistemi Open Source in azienda
Caso reale di migrazione da Windows a sistemi Open Source in azienda
Claudio Cardinali
 
SQL Server Workload Profiling
SQL Server Workload ProfilingSQL Server Workload Profiling
SQL Server Workload Profiling
Gianluca Hotz
 
Deft - Botconf 2017
Deft - Botconf 2017Deft - Botconf 2017
Deft - Botconf 2017
Deft Association
 
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
Deft Association
 

More Related Content

Similar to deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
ManlioSantonastaso
 
Visual Studio Performance Tools
Visual Studio Performance ToolsVisual Studio Performance Tools
Visual Studio Performance Tools
Andrea Tosato
 
Introduzione al web (2/2) - 18/19
Introduzione al web (2/2) - 18/19Introduzione al web (2/2) - 18/19
Introduzione al web (2/2) - 18/19
Giuseppe Vizzari
 
Erlug
ErlugErlug
Erlug
Linuxaria.com
 
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...daniel_zotti
 
Confio Ignite - webinar by Matteo Durighetto
Confio Ignite - webinar by Matteo DurighettoConfio Ignite - webinar by Matteo Durighetto
Confio Ignite - webinar by Matteo DurighettoMiriade Spa
 
Il nuovo catalogo della rete URBS - La migrazione akoha
Il nuovo catalogo della rete URBS - La migrazione akohaIl nuovo catalogo della rete URBS - La migrazione akoha
Il nuovo catalogo della rete URBS - La migrazione akoha
Andrea Marchitelli
 
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineDeftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineSandro Rossetti
 
5 - Introduzione al Web (2/2) - 17/18
5 - Introduzione al Web (2/2) - 17/185 - Introduzione al Web (2/2) - 17/18
5 - Introduzione al Web (2/2) - 17/18
Giuseppe Vizzari
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
Java&Solidarieta
Java&SolidarietaJava&Solidarieta
Java&Solidarieta
Andrea Del Bene
 
5 - Introduzione al Web (2/2)
5 - Introduzione al Web (2/2)5 - Introduzione al Web (2/2)
5 - Introduzione al Web (2/2)
Giuseppe Vizzari
 
SQL Saturday 2019 - Event Processing with Spark
SQL Saturday 2019 - Event Processing with SparkSQL Saturday 2019 - Event Processing with Spark
SQL Saturday 2019 - Event Processing with Spark
Alessio Biasiutti
 
Creare un Information Radiator con Delphi
Creare un Information Radiator con DelphiCreare un Information Radiator con Delphi
Creare un Information Radiator con Delphi
Marco Breveglieri
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine Learning
Caffeina
 
Big data analytics quanto vale e come sfruttarlo con stream analytics e power bi
Big data analytics quanto vale e come sfruttarlo con stream analytics e power biBig data analytics quanto vale e come sfruttarlo con stream analytics e power bi
Big data analytics quanto vale e come sfruttarlo con stream analytics e power bi
Marco Pozzan
 
PoC IoT in 1 ora
PoC IoT in 1 oraPoC IoT in 1 ora
PoC IoT in 1 ora
Alessio Biasiutti
 
iot Saturday 2019 - PoC iot in 1 ora
iot Saturday 2019 - PoC iot in 1 oraiot Saturday 2019 - PoC iot in 1 ora
iot Saturday 2019 - PoC iot in 1 ora
Alessio Biasiutti
 
Caso reale di migrazione da Windows a sistemi Open Source in azienda
Caso reale di migrazione da Windows a sistemi Open Source in aziendaCaso reale di migrazione da Windows a sistemi Open Source in azienda
Caso reale di migrazione da Windows a sistemi Open Source in azienda
Claudio Cardinali
 
SQL Server Workload Profiling
SQL Server Workload ProfilingSQL Server Workload Profiling
SQL Server Workload Profiling
Gianluca Hotz
 

Similar to deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines (20)

Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
 
Visual Studio Performance Tools
Visual Studio Performance ToolsVisual Studio Performance Tools
Visual Studio Performance Tools
 
Introduzione al web (2/2) - 18/19
Introduzione al web (2/2) - 18/19Introduzione al web (2/2) - 18/19
Introduzione al web (2/2) - 18/19
 
Erlug
ErlugErlug
Erlug
 
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
 
Confio Ignite - webinar by Matteo Durighetto
Confio Ignite - webinar by Matteo DurighettoConfio Ignite - webinar by Matteo Durighetto
Confio Ignite - webinar by Matteo Durighetto
 
Il nuovo catalogo della rete URBS - La migrazione akoha
Il nuovo catalogo della rete URBS - La migrazione akohaIl nuovo catalogo della rete URBS - La migrazione akoha
Il nuovo catalogo della rete URBS - La migrazione akoha
 
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineDeftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
 
5 - Introduzione al Web (2/2) - 17/18
5 - Introduzione al Web (2/2) - 17/185 - Introduzione al Web (2/2) - 17/18
5 - Introduzione al Web (2/2) - 17/18
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensics
 
Java&Solidarieta
Java&SolidarietaJava&Solidarieta
Java&Solidarieta
 
5 - Introduzione al Web (2/2)
5 - Introduzione al Web (2/2)5 - Introduzione al Web (2/2)
5 - Introduzione al Web (2/2)
 
SQL Saturday 2019 - Event Processing with Spark
SQL Saturday 2019 - Event Processing with SparkSQL Saturday 2019 - Event Processing with Spark
SQL Saturday 2019 - Event Processing with Spark
 
Creare un Information Radiator con Delphi
Creare un Information Radiator con DelphiCreare un Information Radiator con Delphi
Creare un Information Radiator con Delphi
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine Learning
 
Big data analytics quanto vale e come sfruttarlo con stream analytics e power bi
Big data analytics quanto vale e come sfruttarlo con stream analytics e power biBig data analytics quanto vale e come sfruttarlo con stream analytics e power bi
Big data analytics quanto vale e come sfruttarlo con stream analytics e power bi
 
PoC IoT in 1 ora
PoC IoT in 1 oraPoC IoT in 1 ora
PoC IoT in 1 ora
 
iot Saturday 2019 - PoC iot in 1 ora
iot Saturday 2019 - PoC iot in 1 oraiot Saturday 2019 - PoC iot in 1 ora
iot Saturday 2019 - PoC iot in 1 ora
 
Caso reale di migrazione da Windows a sistemi Open Source in azienda
Caso reale di migrazione da Windows a sistemi Open Source in aziendaCaso reale di migrazione da Windows a sistemi Open Source in azienda
Caso reale di migrazione da Windows a sistemi Open Source in azienda
 
SQL Server Workload Profiling
SQL Server Workload ProfilingSQL Server Workload Profiling
SQL Server Workload Profiling
 

More from Deft Association

Deft - Botconf 2017
Deft - Botconf 2017Deft - Botconf 2017
Deft - Botconf 2017
Deft Association
 
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
Deft Association
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
Deft Association
 
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
Deft Association
 
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoringdeftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
Deft Association
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
Deft Association
 
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
Deft Association
 
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...Deft Association
 
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeft Association
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeft Association
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeft Association
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deft Association
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeft Association
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeft Association
 
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi AndroidDeftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi AndroidDeft Association
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Deft Association
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Deft Association
 
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deft Association
 
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deft Association
 
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...Deft Association
 

More from Deft Association (20)

Deft - Botconf 2017
Deft - Botconf 2017Deft - Botconf 2017
Deft - Botconf 2017
 
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
 
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
 
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoringdeftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
 
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
 
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
 
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
 
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi AndroidDeftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
 
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
 
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
 
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...
 

deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

  • 1. TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines Relatore: Federico Grattirio
  • 2. Indice: Introduzione Architettura Sviluppi Cos’è una timeline ? A cosa serve ? Dove posso trovare le informazioni ? Come ottenere una timeline ? Analisi e problemi Tool disponibili Timeshark Case of study
  • 3. Timeline nelle analisi forensi ● Metodo rapido e intuitivo per comprendere la sequenza degli eventi avvenuti in una determinata finestra temporale ● Ricostruire le attività di un utente o di un intruso ● Ricostruire le fasi di un attacco informatico ● Individuare il punto di compromissione originale ● Individuare le cause di un incidente ● Evidenziare incongruenze sintomo di attività illecite o antiforensics ● Gli eventi provengono da una pluralità di fonti eteronegee ● Gli eventi di natura digitale sono registrati in quantità tali da richiedere necessariamente una trattazione automatizzata ● Raccogliere una ricca base dati è ormai relativamente semplice… ● …elaborarla invece no Introduzione Architettura SviluppiCase of study
  • 4. Dove posso trovare le informazioni ? ● Filesystem Introduzione Architettura SviluppiCase of study
  • 5. Dove posso trovare le informazioni ? ● Filesystem ● File di log (sistema e applicazioni) Introduzione Architettura SviluppiCase of study
  • 6. Dove posso trovare le informazioni ? ● Filesystem ● File di log (sistema e applicazioni) ● Cronologia e cache dei browser Introduzione Architettura SviluppiCase of study
  • 7. Dove posso trovare le informazioni ? ● Filesystem ● File di log (sistema e applicazioni) ● Cronologia e cache dei browser ● Metadati interni ai documenti Introduzione Architettura SviluppiCase of study
  • 8. Dove posso trovare le informazioni ? ● Filesystem ● File di log (sistema e applicazioni) ● Cronologia e cache dei browser ● Metadati interni ai documenti ● ...e molti altri, anche esterni al sistema in esame ● log dei provider, tabulati telefonici, sistemi di videosorveglianza… Introduzione Architettura SviluppiCase of study
  • 9. Come ottenere una timeline ? Introduzione Architettura SviluppiCase of study
  • 10. Analisi e problemi ● Grandi moli di dati ○ Timeline derivanti dal solo journal NTFS possono avere dai 500.000 a 2.000.000 eventi ● Grande varietà di formati in input ○ I timestamp sono registrati in formati diversi, che variano da sistema operativo, filesystem, applicazioni… ○ Le timeline possono provenire dai report di diversi tool di acquisizione o carving ○ Gli eventi possono essere stati registrati da diversi sistemi, con diversi fusi orari o time skew rilevanti ● Complessità di visualizzazione ● Complessità di analisi Introduzione Architettura SviluppiCase of study
  • 11. Tool disponibili - Autopsy Introduzione Architettura SviluppiCase of study • Open source • Funzione ancora in beta (e si vede…) • Base dati limitata al filesystem • Accesso diretto alla sorgente dell’evento • Non permette di applicare filtri alla timeline • Non permette di evidenziare gli eventi • Disponibile solo per Windows e DEFT
  • 12. Tool disponibili – Kibana Introduzione Architettura SviluppiCase of study • Open source e web based • Interfacciabile con Plaso/log2timeline • Altamente scalabile • Non disegnato specificamente per analisi forensi • Nessun accesso alla sorgente
  • 13. Tool disponibili – 4n6time Introduzione Architettura SviluppiCase of study • Non è open source  • Buona integrazione coi backend • Interfaccia molto evoluta, ma ancora difettosa (navigazione visuale, accesso alla sorgente, gestione filtri, paginazione…) • Strumento potente, ma non adattabile
  • 14. Tool disponibili – Aftertime Introduzione Architettura SviluppiCase of study • Sorgenti chiusi • Licenza d’uso fortemente limitante • Ottimo supporto agli artefatti, ma non estensibile • Interfaccia intuitiva, ma non priva di difetti (accesso alla sorgente, bookmark…) • Tempi di reazione insoddisfacenti
  • 15. Tool disponibili - FTK Introduzione Architettura SviluppiCase of study • Raccolta dati basata su log2timeline • Accesso diretto alla sorgente • Interfaccia grafica scarsamente produttiva • Software proprietario • Disponibile solo per Windows
  • 16. Tool disponibili - Encase Introduzione Architettura SviluppiCase of study • Interfaccia limitata, ma molto reattiva • Accesso diretto alla sorgente dell’evento • Base dati limitata ai timestamp del filesystem • Reportistica inadeguata • Software proprietario • Disponibile solo per Windows
  • 17. Tool disponibili - Webscavator Introduzione Architettura SviluppiCase of study • Open source • Ottima interfaccia • Filtri preconfigurati e report intuitivi • Permette solo l’analisi di timeline derivanti da navigazione web
  • 18. Tool disponibili - IEF Introduzione Architettura SviluppiCase of study • Lunghi tempi di caricamento • Interfaccia molto reattiva • Base dati ampia, ma comunque limitata ai risultati di IEF • Software proprietario • Disponibile solo per Windows
  • 19. Timeshark ● Open source ● Multipiattaforma ● Tempi di risposta adeguati anche con grandi moli di dati ● Interfaccia punta e clicca, intuitivo, semplicità di utilizzo ● Possibilità di segnalare eventi sospetti ● Possibilità di aggregare più eventi ● Possibilità di filtrare e colorare gli eventi ● Possibilità di personalizzazione del software Introduzione Architettura SviluppiCase of study
  • 20. Indice: Introduzione Architettura Sviluppi Struttura generale Plugin Tecnologie Case of study
  • 21. Struttura generale ● Model: Gestione dei dati presenti nel database ● View: Gestione della visualizzazione dei dati ● Controller: Gestione della elaborazione dei dati ● Plugin managers: Gestione dei plugin Introduzione Architettura SviluppiCase of study
  • 22. Plugin ● Caricati dinamicamente all’avvio di Timeshark ● Plugin scanner -> Permettono l’interpretazione di file in input ● Plugin filtro -> Permettono la creazione di filtri standard ● Plugin di visualizzazione -> Permettono la creazione di svariati punti di vista sul database ● Plugin di export -> Permettono l’esportazione dei dati nel formato desiderato Introduzione Architettura SviluppiCase of study
  • 23. Tecnologie ● Python ○ Linguaggio di programmazione multipiattaforma ● Librerie Qt ○ Librerie grafiche multipiattaforma per lo sviluppo di interfacce grafiche ● SqLite ○ Libreria software per la creazione di un database relazionale Introduzione Architettura SviluppiCase of study
  • 25. Case of study Dati: ● Journal derivato da partizione NTFS Obiettivo: ● Ricavare eventi compresi tra le ore 07:27 e le ore 07:30 ● Evidenziare gli eventi di creazione file ● Segnalare tramite tag gli eventi che comprendono solo il tipo “file_created” Workflow: Creazione analisi Aggiunta file Aggiunta filtri Aggiunta tag Introduzione Architettura SviluppiCase of study
  • 34. Aggiunta tag Introduzione Architettura SviluppiCase of study
  • 35. Aggiunta tag Introduzione Architettura SviluppiCase of study
  • 36. Export data Introduzione Architettura SviluppiCase of study
  • 39. Sviluppi Sviluppi: ● Creazione di plugin di visualizzazione grafica delle timeline ● Creazione di plugin di visualizzazione di statistiche/sessioni presenti nei dati analizzati ● Creazione di plugin per l’importazione dei più comuni file derivanti da tool di estrazione e carving ● Creazione di plugin per l’esportazione in formato xml (con xsl) ● Link diretto alla sorgente dell’evento Introduzione Architettura SviluppiCase of study
  • 40. Introduzione Architettura SviluppiCase of study Timeshark v. 0.1 Contatti: • Federico grattirio <federico.grattirio@gmail.com> Acknowledgement: • Antonio Barili • Davide Gabrini Domande ?