Archivi autore: Paolo Dal Checco

Informazioni su Paolo Dal Checco

Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.

Open Source Day 2013 a Udine

Open Source Day 2013 a UdineAll’Open Source Day 2013 di Udine, quest’anno si parlerà anche di Computer e Mobile Forensics. Il 30 novembre, nell’Aula 0 del Polo Scientifico dell’Università degli Studi di Udine, si terrà un intero percorso dedicato alla forensics, introdotto dal Pubblico Ministero di Udine Dott. Andrea Gondolo, con quattro seminari su timeline, mobile forensics, OSINT e Problem Solving con Davide Gabrini, Paolo Dal Checco, Alessandro Rossetti e Nanni Bassetti. Continua a leggere

Linux Forensics a Roma con IISFA

Linux ForensicsDomani venerdì 26 ottobre 2013 terrò un seminario sulla Linux Forensics a Roma, organizzato e patrocinato dall’associazione IISFA e riservato ai soci, durante il quale mostrerò come eseguire analisi forensi di sistemi Linux portando due casi reali come esempio di forensics su Linux. Con il termine Linux Forensics, infatti, in genere si intendono le indagini digitali eseguite tramite strumenti basati su Linux, mentre io cercherò di mostrare come si può condurre una perizia informatica dei computer sui quali è installato il Sistema Operativo Linux. Ovviamente, come strumenti di analisi forense, faremo uso dei tool Open Source di computer forensics disponibili sulla suite DEFT Linux, basata su Linux. 😉

Continua a leggere

Nuovo sito per DEFT Linux e l’Associazione DEFTA

Nuovo sito per DEFT LinuxOggi il sito DEFT ha cambiato volto: è stato rinnovato nella grafica e nei contenuti per poter stare al passo con gli aggiornamenti che nel campo della Computer Forensics si fanno sempre più fitti e rilevanti. Oltre ad aggiornare e potenziare la suite di strumenti di indagine digitale DEFT e DART, lo staff DEFT (potete vederli in volto a questo link, ci sono anche io!) cercherà di informare gli affezionati utilizzatori e i nuovi followers sulle novità che ha portato la creazione dell’Associazione no-profit DEFT, nota anche come DEFTA.

Continua a leggere

DEFT Linux 8 - Download

Download di DEFT Linux 8 e DART 2

Dopo circa due settimane di test della versione DEFT 8 public beta, abbiamo pubblicato per il download la ISO di DEFT 8 in versione final stable, che ora include anche DART 2 e può essere masterizzato su DVDROM o utilizzato per creare Live USB.

DEFT Linux 8 - Download

Potete scaricare DEFT 8 Linux con incluso DART – la suite di strumenti per analisi forense e incident response – e verificarne il valore hash con il seguente: fcedb54176de7a3018adfa7571a3a626. Per calcolare il valore hash MD5 del download di DEFT 8 potete utilizzare diversi tool: ad esempio md5summer o HashMyFiles (su Windows) o i tool a linea di comando md5sum o md5 per Linux/MacOS.

DART per analisi forense con DEFT

Una volta terminato il download di DEFT Linux, se il vostro PC non possiede un lettore di DVD potete convertire la ISO in una Live USB per poter utilizzare DEFT su penna USB tramite tool come Universal USB Installer o UnetBootIn. Per masterizzare la ISO su DVD è invece sufficiente utilizzare programmi di masterizzazione come ImgBurn o InfraRecorder (su Windows) oppure K3B (su Linux) o Utility Disco (su Mac OS).

Come molti di voi sapranno, il progetto DEFT (partito come Live CD, diventato poi Live DVD e Appliance Virtuale) è stato recentemente la base per la costituzione dell’Associazione DEFT, no profit e fatta da volontari che nella vita si occupano anche di altro. Se il sistema DEFT è utile o persino indispensabile per il vostro lavoro, vi invitiamo a donare tramite Paypal un contributo per l’Associazione, che verrà utilizzato per le attività relative al progetto. Per le donazioni è disponibile un pulsante nel sito ufficiale www.deftlinux.net.

La versione in download di DEFT Linux versione 8 stable è stata verificata e i bachi più evidenti sono stati rimossi. Siccome siamo esseri umani anche parecchio impegnati nelle nostre attività lavorative, qualcosa può essere sfuggito perciò come al solito vi chiediamo di segnalare eventuali bachi o suggerimenti all’indirizzo [email protected], così da permetterci di raccogliere una lista di TODOs per la prossima release. Un caloroso ringraziamento a tutto lo staff DEFT e a chi ci ha supportato e continua a supportarci. Rimanete sintonizzati perché presto ci saranno novità in arrivo, come ad esempio:

  • il rilascio della Virtual Appliance DEFT 8 (la macchina virtuale utilizzabile su workstation tramite VMware Workstation/Player o VirtualBox cui ricordiamo si accede mediante user “root” e password “deft”);
  • il manuale utente della versione 8 di DEFT (per adesso continua comunque ad essere valido il Manuale DEFT della versione 7 pubblicato sul sito);
  • un nuovo sito aggiornato.

Enjoy! 🙂

DEFT 8 Public Beta e DART 2.0 ready for download!

Deft Linux 8Con un po’ di ritardo sulla tabella di marcia – di cui ci scusiamo come membri dell’associazione DEFT – ecco finalmente la prima beta pubblica di DEFT Linux 8 con DART 2.0 stable, ottimizzata per sistemi a 64bit! 🙂

Qui di seguito le novita’ della distribuzione DEFT 8:

  • Kernel GNU Linux a 64 bit v. 3.5.0-30 – e’ ora possibile superare il limite dei 4GB di RAM;
  • The SleuthKit 4 (la versione stabile di DEFT includera’ The SleuthKit 4.1) e Autopsy 2 – in arrivo anche Autopsy 3 su Linux (solo per Law Enforcement);
  • Digital Forensics Framework 1.3;
  • Supporto per Libewf e AFFlib;
  • Xmount e mount_ewf;
  • Guymager 0.7.1, Cyclone 0.2 ed Esximager;
  • Recoll 1.19.5, software per indicizzazione;
  • Bulk extractor 1.3.1 con Bulk extractor GUI 1.3;
  • Dumpy 0.2, uno strumento di parsing per estrarre dati strutturati dai dump (utile in particolare per quelli “anonimi”) – un ringraziamento particolare a Gianni Amato (guelfoweb) per l’esclusiva!
  • Skype extractor;
  • Log2timeline 0.65;
  • iPBA 2 e Lib iMobile device 1.1.5 (pieno supporto per iOS 6.*);
  • Fastboot – re-flash Android partition tool;
  • Google Chrome Open Source INTelligence browser e TOR;
  • Maltego Radium (ci scusiamo ma c’e’ ancora un problema per la risoluzione del quale stiamo collaborando con il supporto Paterva);
  • Xplico 1.0.1 e CapAnalysis.

Rammentiamo che questa e’ una public beta release, gia’ ampiamente testata e sistemata internamente ma per la quale vi chiediamo la collaborazione nel caso in cui troviate bug, scrivendoci a [email protected]. Contiamo di rilasciare la ISO finale, con incluso DART 2 e la Virtual Appliance, entro la meta’ di luglio.

Potete scaricare DEFT 8 public beta [link rimosso perché obsoleto] dal link diretto per il download e verificarne l’MD5 con il valore seguente: 7a7613d4673e949f9871347efab6e15e.

Suite di strumenti di Incident Response DART presente in DEFT Linux

DART 2.0 (la suite di strumenti per informatica forense utilizzabile su sistemi Windows) e’ stato completamente riscritto con le seguenti novità:

  • Motore di ricerca delle applicazioni stile Spotlight;
  • Nuovo motore di reporting e auditing;
  • Possibilita’ di eseguire le applicazioni come Amministratore, quando e se necessario;
  • Possibilita’ di spostarsi direttmaente nel path dell’applicazione;
  • Possibilita’ di copiare nella clipboard l’hash di dart.xml.

Potete scaricare DART 2.0 dal link diretto per il download e verificarne l’integrità con il seguente MD5: 630291049bc52cbd7e5c7e56e669078a.

DART 2.0 contiene le seguenti applicazioni:

TCHunt 1.5 (GUI), TCHunt 1.6 (CLI), FTK Imager Lite, FTK Imager CLI (Win, Linux, Mac), CamStudio, ConCon Retriever, Cygwin coreutils, dcfldd, dcfldd (per Windows), Belkasoft Ram Capturer 32/64, Search my files, FAU x86/x64, FAU x86 e x64, HDDRawCopy, fmem, FastCopy 32/64, trid / trid Linux, TrIDnet, md5deep e hashdeep for Windows, HxD, MouseJiggle, MediaPlayerClassic (x86/x64), NetSetMan, Access PassView, AlternateStreamView, AppCrashView, AsterWin IE, AdapterWatch, BlueScreenView, BluetoothView, BrowsingHistoryView, BulletsPassView, ChromeCacheView, ChromeCookiesView, ChromeHistoryView, ChromePass, LastActivityView, CurrPorts, CurrProcess, DevManView, Dialupass, DiskCountersView, DiskSmartView, DriveLetterView, Enterprise Manager PassView, ESEDatabaseView, ExifDataView, FavoritesView, FirefoxDownloadsView, FlashCookiesView, FoldersReport, HashMyFiles, HTTPNetworkSniffer, IECacheView, IECookiesView, IEHistoryView, InsideClipboard, InstalledCodec, IE PassView, JumpListsView, LiveContactsView, LSASecretsDump, LSASecretsView, Mail PassView, MIMEView, MozillaCacheView, MozillaHistoryView, MessenPass, MUICacheView, MyEventViewer, MyLastSearch, MozillaCookiesView, NetBScanner, NetResView, NetworkInterfacesView, Network Password Recovery, NetRouteView, NetworkTrafficView, NTFSLinksView, OpenedFilesView, OperaCacheView, OperaPassView, OutlookAddressBookView, OutlookAttachView, OutlookStatView, Password Security Scanner, SniffPass, PasswordFox, PCAnywhere PassView, ProcessActivityView, ProcessThreadsView, Protected Storage PassView, PstPassword, RecentFilesView, RegScanner, Remote Desktop PassView, RouterPassView, SafariCacheView, SafariHistoryView, SearchMyFiles, ServiWin, ShellBagsView, SkypeLogView, SmartSniff, SocketSniff, URLStringGrabber, USBDeview, UserProfilesView, UserAssistView, VideoCacheView, VNCPassView, WebBrowserPassView, WebCookiesSniffer, WhatInStartup, WifiInfoView, WinPrefetchView, Win9x PassView, WinLister, WirelessKeyView, WirelessNetView, Wireless Network Watcher, BFT, Pzen Dump, Orion Browser Dumper, Phrozen Password Revealer, On-screen keyboard, Notepad++ (with ToolBucket, XMLtools, CompareUni, Hexeditor Uni e LightExplorerUni), XnView, VLC Portable, SumatraPDF, 7zip, ClamWin, Eraser Portable, InfraRecorder, QCC FragView, QCC Gigaview, QCC VideoTriage, Browser History Spy, SecurityXploded SpyDLLRemover, SecurityXploded PasswordSuite, Proc Net Monitor, eCryptfs Parser (Win e Lin), MDD, Quick Hask (win e lin), RHash, The Sleuth Kit (win32), SQLite Database Browser, USB History Dump, SSDeep, Nigilant32, AlexNolan DriveMan, ICESword, ash368 Lime Juicer, ash368 LimeWire Library Parser v4 e v5, ash368 VW7, ash368 Props, ash368 Thumo, testdisk/photorec Win/Lin/Mac x86/x64, EMFSpoolViewer, System Scaner, Teracopy Portable, CyberMarshal eMule Reader, CyberMarshal Mac Memory Reader, CyberMarshal Windows Memory Reader, Database Browser, DeepBurner, Mail-Cure for Outlook Express, MetMedic, FastStone Viewer, Windows Forensic Toolchest, Gaijin FileInfo, Gaijin Historian, Gaijin StreamFinder, Gaijin Emule MET viewer, Gaijin Registry Report, Gaijin USB WriteProtector, Gaijin WipeDisk, Gaijin ConTools, Gaijin Spartacus, Gsplit, GMER, HWiNFO 32 + HWINFO Dos, JPEGsnoop, Jam-Software Treesize, Jam-Software UltraSearch, Advanced Password Recovery, Universal Extractor, Mandiant IOC Finder, Mandiant Memoryze Mac, Mandiant Memoryze, Harvester, md5summer, Mitec Internet History Browser, Mitec Instant Messaging History Browser, Mitec Mail Viewer, MiTec Structured Storage Viewer, Mitec Windows File Analyzer, Mitec Windows Registry Rescue, Neuber PC On/Off Time, Neuber Svchost Process Analyzer, TurnedOnTimesView, TcpLogView, AviScreen, WinAudit Unicode, Screeny, FileAlyzer 2, FileAlyzer e FoldAlyzer, Sanderson OLEDeconstruct, Sanderson Forensic Copy, Sanderson List Codecs, Sanderson Forensic Image Viewer, OTFE Volume File Finder, SDHash, ShadowExplorer, FSV Thumbs Extractor, Lnkexaminer, Vidpreview, sleuthkit win32, LAN Search Pro 32, Network Scanner 32, Don’t Sleep, Photostudio, ltfviewer, index.dat Analyzer, ProDiscover Basic Free, ZeroView, TightVNC, ScoopyNG, Tuluka, Undelete 360, SPLViewer, Universal Viewer Free, GRR client Win32/64 OSX, tr3secure, Registry Decoder Live, RegRipper Plugin, RegRipper + RegRipperXP, simple-file-parser, mac-ir, RootRepeal, BlackBag IOReg Info, BlackBag PMAP Info, Mandiant Heap Inspector 32/64, DNSQuerySniffer, pre-search, linux_86, solaris 2.7

Enjoy it! 🙂