Per acquisire con Hashbot la pagina dei risultati ottenuti dalla ricerca è buona norma ripulire la url dai parametri inutili.

Ecco qualche esempio. Una semplice ricerca della parola chiave “catania” diventa:

Google

http://www.google.it/webhp?hl=it#sclient=psy-ab&amp
;hl=it&amp
;site=webhp&amp
;source=hp&amp
;q=catania&amp
;pbx=1&amp
;oq=catania&amp
;aq=f&amp
;aqi=g4&amp
;aql=&amp
;gs_sm=e&amp
;gs_upl=1041l3947l0l4043l15l9l3l0l0l1l253l1424l1.6.2l11l0&amp
;bav=on.2,or.r_gc.r_pw.r_cp.,cf.osb&amp
;fp=965e534ac9b03a1b&amp
;biw=1600&amp
;bih=814

Per Hashbot basta usare la seguente url

http://www.google.it/search?q=catania

Bing

http://it.bing.com/search?q=catania&amp
;go=&amp
;qs=n&amp
;sk=&amp
;sc=8-1&amp
;form=QBRE

Per Hashbot basta usare la seguente url

http://it.bing.com/search?q=catania

Yahoo!

http://it.search.yahoo.com/search
;_ylt=A7x9QV6_DMxOvF4AkyQbDQx.
;_ylc=X1MDMjExNDcxOTAwMwRfcgMyBGFvAzEEaG9zdHWQwS0F...UOTk-
?p=catania&amp
;fr2=sb-top&amp
;rd=r1

Per Hashbot basta usare la seguente url

http://it.search.yahoo.com/search?p=catania

Yahoo! Answers

http://it.answers.yahoo.com/search/search_result
;_ylt=At9etezYLgzmrtuohwbN1s_v44lQ
;_ylv=3?p=catania&submit-go=Cerca+in+Y%21+Answers

Per Hashbot basta usare la seguente url

http://it.answers.yahoo.com/search/search_result?p=catania

Youtube

http://www.youtube.com/watch?v=1icOvKtHZsM&amp
;feature=related

Per Hashbot basta usare la seguente url

http://www.youtube.com/watch?v=1icOvKtHZsM

Download DAS

Se usate git:

• git clone https://github.com/guelfoweb/das.git

In alternativa copiate lo script dalla seguente pagina:

• https://github.com/guelfoweb/das/blob/master/das

Link: Approfondimenti sul mount di ubuntu

• BackBox (PT / Forensics)
• BackTrack (PT / Forensics)
• Caine (Forensics)
• Deft (Forensics)

Le prime due, storicamente orientate al PT/VA, sono state adeguate alle esigenze di chi si occupa di indagini digitali. Una scelta imho condivisibile per certi aspetti.

Relativamente a BB e BT:

• I Pentester avranno a disposizione nuovi strumenti… anche se sto sforzandomi di capire quale di questi strumenti potrebbe agevolarli (forse qualche tool per il cracking password, ma erano già presenti nelle distribuzioni precedenti).
• I Forenser, invece, avranno in mano una bomba. Pronta a esplodere se maneggiata impropriamente.

A differenza di Caine e Deft trovo Backbox e Backtrack molto bene organizzati. L’usabilità fa da padrona. I tool sono facilmente reperibili perchè posizionati con criterio negli appositi menu, la grafica è leggera e rilassante. Per non parlare poi dei rispettivi siti che li ospitano. Curati nei minimi dettagli.

Ok, si fa presto a criticare senza mettere mano al lavoro. Avete ragione, non lo metto in dubbio, ma forse non sono l’unico a pensarla così

Per il resto nulla da dire. Quattro live cd italiane sono una delle poche cose che mi fanno sentire orgoglioso di essere nato e vivere in Italia.

Negli ultimi mesi ho imparato a conoscerlo meglio e ad apprezzare le sue potenzialità anche nel campo dell’image forensics. Grazie al lavoro di alcuni sviluppatori, come ad esempio Samuel Alberecht aka elsamuko, che hanno partorito degli ottimi plugin è possibile personalizzare Gimp per renderlo discretamente adatto all’analisi delle immagini digitali.

Ecco, come in questo esempio, quanto può essere utile il plugin Automatic copy/move image forgery detection di John Graham-Cunning

Osservate questa foto

L’analisi del plugin copymove di Gimp ha rilevato delle zone clonate

In effetti non si è sbagliato. La foto originale era questa

La domanda sorge spontanea: come mai le distribuzioni live forensics, dotate di tutti gli strumenti possibili e spesso anche di inutili doppioni che servono solo a far confusione, non includono Gimp corredato di plugin per l’image forensics?

Naturalmente è un suggerimento. Qualora ci ripensiate fate un salto su questa pagina e includete in Gimp questi quattro fondamentali plugin:

1. Clone Detection
2. Error Level Analysis
3. HSV Analysis
4. LAB Analysis

Si programmava da tempo ma solo oggi abbiamo ricevuto conferma della data e della location.

Grazie a GOV. Forensics S.r.l. che sponsorizza l’evento giorno 1 ottobre 2011 saremo al Centro Congressi Hotel Sheraton (EUR) per affrontare nuovi temi legati alla computer forensics e alla sicurezza informatica.

L’evento è gratuito e durerà tutto il giorno per cui ci sarà modo e tempo a sufficienza per conoscerci di presenza e scambiare due chiacchiere.

Il programma e i dettagli su digiconf.net

Prendendo come esempio una pagina statica di questo blog http://www.gianniamato.it/contatti è possibile risalire alla data di pubblicazione o più precisamente alla data in cui lo spider del motore di ricerca ha rilevato la pagina e indicizzato i contenuti.

La query, da eseguire direttamente dalla barra degli indirizzi, è la seguente:

http://www.google.com/search?q=inurl:http://www.gianniamato.it/contatti&as_qdr=y15

E’ importante aggiungere il parametro as_qdr=y15 in coda alla query per chiedere al motore di ricerca Google di andare a curiosare nell’archivio degli ultimi 15 anni e mostrare la data di pubblicazione.

Sappiamo bene che nel caso in cui i contenuti siano stati rimossi basta cliccare sul link “Copia cache” per visualizzare ciò che Google ha mantenuto in cache. Purtroppo l’url generato in seguito al click si porta dietro i parametri della ricerca precedente e aggiunge un hash per trovare più velocemente la pagina salvata. Il risultato è qualcosa simile a questo:

L’alternativa, al fine di ottenere una url pulita e soprattutto leggibile, è quella di utilizzare la seguente query:

http://webcache.googleusercontent.com/search?q=cache:www.gianniamato.it/contatti

Questa semplice url può essere utilizzata su Hashbot.com per acquisire il contenuto della cache prima che venga fatta richiesta di rimozione.

Studiare un pò di tecniche SEO e utilizzarle per le proprie esigenze non fa mai male. Per approfondimenti sugli argomenti trattati vi rimando a questi due post.

Qualche giorno fa, nel bel mezzo di una attività di recupero dati da un disco formattato, è sorta la necessità di estrarre ricorsivamente il contenuto di un paio di directory che contenevano centinaia di file di svariate tipologie.

Difficile catalogare le tipologie dei file per far lavorare foremost o sfdumper e, come spesso accade, il tempo a disposizione non giocava a mio favore. Neppure autopsy giocava a mio favore perchè l’estrazione ricorsiva delle directory purtroppo non è stata prevista.

Dopo aver fatto due chiacchiere al telefono con Denis per trovare insieme a lui una soluzione rapida al problema ho deciso di tentare – e fortunatamente ho risolto – con DFF.

Per farla breve, Denis oggi ha pubblicato uno script (che non ho ancora testato) per porre rimedio a questo inconveniente.

Analizzando il file con FileInfo vengono individuati facilmente gli oggetti e la natura del file.

Al momento non pubblico i dettagli su come estrarre le informazioni per non togliervi il piacere di indagare.

Step 1

Step 2

Step 3

Buon divertimento

In realtà possiamo ottenere il medesimo risultato concatenando Netcat con Openssl, con la possibilità di usufruire di altri algoritmi di cifratura.

Lato Client
openssl enc -aes256 -nosalt -pass pass:mypasswd -in filename | nc -q 1 1.2.3.4 80

Lato Server
nc -lvp 80 | openssl enc -aes256 -d -nosalt -pass pass:mypasswd -out filename

PE32 Information

Se provate a interrogare un file windows formato PE32 (es. exe o dll) il menu principale mostrerà una nuova voce: “PE32 Information“.

Questa azione consente di individuare gli oggetti invocati, le DLL, le possibili connessioni verso l’esterno e altre informazioni utili a chi svolge l’analisi di un malware.

Show thumbnail

FileInfo è in grado di individuare l’eventuale presenza di una thumbnail residente all’interno di un file JPEG. In tal caso al menu principale verrà aggiunta la nuova voce: “Show Thumbnail“.

Selezionando questa azione, dopo aver definito il percorso sul disco e scelto il nome da assegnare al file, si procederà con l’estrazione e il salvataggio della miniatura.

Info e download su Google Code: http://code.google.com/p/fileinfo-gui