E’ uscita oggi una nuova versione del tool di generazione per supertimeline “log2timeline”, di Kristinn Gudjonsson. Potete scaricare il codice sorgente dal repository log2timeline presso il sito Google Code, che da poco sostituisce il sito originale log2timeline.net e il blog di Kristinn Gudjonsson ormai poco aggiornato). Alternativamente, è possibile configurare il repository Ubuntu, utilizzare yum di Fedora o installare MacPorts su Max OS X/OpenBSD.
Vediamo le caratteristiche dello strumento migliore, fino ad oggi, disponibile gratuitamente per generare super timeline:
In evidenza
- Due moduli di ingresso di nuovi, scritti da Francesco Picasso, utmp.pm e selinux.pm;
- Diverse correzioni di bug per i vari moduli;
- l2t_process ufficialmente rinominato l2t_process_old (sostituito dalla versione fornita nel progetto l2t-tools);
- timescanner rimosso dal pacchetto ufficiale (installazione tramite makefile) dal momento che non è più applicabile;
- l2t_process è ora deprecato in favore di l2t_process.py da l2t-tools.
Nuove funzionalità / miglioramenti:
- Aumento esponenziale della velocità: versione 0.65 di log2timeline esegue le operazioni molto più velocemente;
- I problemi di fuso orario con i nomi brevi rispetto ai nomi lunghi non sono più un problema;
- E’ possibile utilizzare espressioni regolari per il filtraggio tramite blacklist/whitelist, invece del set di caratteri limitato supportato dalle versioni precedenti;
- L’ordinamento dell’output della supertimeline viene fatto attraverso un diverso algoritmo, merge sort esterno, il che significa che lo strumento ora permette ordinamento di file di grandi dimensioni anche con macchine con memoria limitata cosa che in passato ha sempre dato diversi problemi con sistemi con pochi GB di RAM);
- l2t_process ora supporta file di regole YARA come filtri per le voci e per gli alert basati sulle regole (vedere in dettaglio l’help fornito da “l2t_process.py — help”)
- Le ricerche per parole chiave sono per default case sensitive (cioé fanno distinzione tra maiuscole e minuscole) ma il comportamento può essere modificato con un parametro;
- Il sistema di plugin è stato migliorato per supportare un’elaborazione più avanzata delle linee/oggetti;
- Il sistema di filtraggio è stato migliorato per supportare filtri più avanzati.
Problemi noti
- Il nuovo file binario eseguibile log2timeline-perl binario dovrebbe dipendere dalla libjson-xs-perl, ma non funziona ancora (Kristinn è in attesa di ulteriori conferme prima di far uscire una nuova versione). Questo fa sì che il comando “log2timeline -o list” fallisca così come l’output del modulo json/serialized se non installato (come nel caso dell’installazione predefinita in SIFT);
- Ci sono stati alcuni problemi con libdbd-sqlite3-perl che dovrebbero essere stati corretti nella versione installata su SIFT al momento, però sulle altre distribuzioni è necessario eseguire l’aggiornamento manualmente (se si desidera il supporto per i file più recenti di Firefox);
- Per qualche motivo il file bash_completion.d/log2timeline non viene installato di default su SIFT durante l’aggiornamento, perdendo così lo script bash di completamento. Può essere installato manualmente, però, fino a quando non sarà rilasciata una adeguata correzione.