(photo credits: Pascal Vuylsteker)

In un post precedente si è parlato di un fantomatico virus che appena contagia un apparato di telefonia cellulare lo mette sotto controllo e intercetta chiamate e traffico SMS o MMS. Tutto questo si è rivelato esser la solita bufalata mediatica.

Vediamo come funziona un’intercettazione vera e come è possibile nella realtà intercettare tutto il traffico dati e voce di un telefono cellulare.

Esistono vari scenari e livelli tecnici a cui può esser svolta un’intercettazione, si và dal coniuge che non si fida di chi gli sta vicino fino all’intercettazione fatta per motivi di pubblica sicurezza.

Il metodo “del pover uomo” prevede l’installazione di un software sul dispositivo da intercettare, necessita quindi del possesso fisico del apparato radiomobile, o almeno di entrarne in possesso per un breve periodo sufficente per copiare e installare il programma spia.

Un software di questo tipo, che è reperibile su internet per pochi dollari, una volta installato manda tutte le informazioni reperibili sul cellulare, come gli SMS o MMS inviati e ricevuti, le chiamate fatte e ricevute o i dati della rubrica, ad un investigatore o presunto tale, che se ne sta comodo a casa sua sorseggiando un Mojito. Ovviamente nella maggior parte dei casi la persona spiata non si accorge di nulla. Inoltre è possibile inviare via SMS comandi al cellulare spiato in modo da fargli fare determinate azioni predeterminate.

Questa è la tecnica preferita da moglie e mariti aspiranti 007 che con qualche euro e un software quale Guardian può farsi gli affari del proprio coniuge.

Spero che sia inutlie dover sottolineare che ogni tipo di intercettazione telefonica svolta senza autorizzazione è illegale.

Un’intercettazione a più alto livello tecnico, ad esempio quelle ordinate dall’Autorità Giudiziaria, viene fatta con modalità diametralmente opposte. Non è richiesto il possesso dell’apparato da spiare perchè con la collaborazione degli operatori di telefonia avviene l’intercettazione del flusso voce o dati prima che questo arrivi all’apparato radiomobile. Non voglio dilungarmi su come avviene questo.

Nel secondo caso, è quasi impossibile accorgersi di essere intercettati, mentre nel primo è possibile, ma questo sarà un’atro post.

NOTA: per ulteriori informazioni andate su http://www.spiamo.com

• Spionaggio basato sul Viagra
• Qualcuno spia il nostro cellulare?
• Tassonomia dell’intelligence
• Insider, la minaccia che viene dall’interno
• Video su intercettazioni tramite cellulari spia

(photo credits Jeff Kubina)

La tragedia e` avvenuta, un disco rigido che funzionava correttamente fino a ieri, adesso non lo fa piu`, non viene nemmeno visualizzto il suo volume (l’icona del disco rigido). Tuttto quello che fino a ieri sembrava un contenuto di dati senza significato ora non c’e` piu` e ci si rende realmente conto di qeullo che si ha perso e che del significato, quei dati, lo avevano.

Un’inizio di post dalle connotazione catastrofiche per evidenziare l’importanza dei backup, finche` non servono possono sembrare inutili, quando vi servono sono la cosa che vi salva.

Ultimamente mi e` capitato di fare un paiodi recuperi di dati da hard disk in cui era stata cancellata la tabella delle partizioni, nello specifico due hard disk esterni da 300Gb e 1Tb formattati in NTFS.

La scomparsa della tabella delle partizioni, che ha la stessa funzione di un indice in un libro cioe` dire a che pagina si trova un determinato capitolo, oltre a far perdere tutti i dati contenuti all’interno del disco rende anche le partizioni invisibili al sitema operativo. La cancellazione della tabella delle partizioni avviene principalmente in due casi: quando un problema dell’hardware la corrompe o quando l’utente per errore la cancella.

Ma come in un libro e` possibile ricostruire l’indice a partire dai soli capitoli in un hard disk e`possibile recuperare o ricostruire la tabella delle partizioni.

Ho utilizzato testdisk, uno strumento che analizza un hard disk in vari modi e cerca di ricostruire lo schema delle partizioni o di recuperarne un backup che alcuni file system creano. Il suo utilizzo e`veramente facile anceh per chi non mastica analisi forense a colazione e ha permesso di recuperare il 100% dei dati.

• L’Hard Disk del Columbia

"Researchers have finally published the results of data recovered from a cracked and singed hard drive that fell to Earth in the debris from the Space Shuttle Columbia, which broke up during reentry on February 1, 2003, killing all seven crew members.

When the Glenn engineers learned that the hard drive had indeed survived, they sent it to Ontrack Data Recovery in Minneapolis to extract whatever data remained in the cracked hard drive disk.
The data came back about 99 percent complete, but the results were so
complex that isolating the shear-thinning effect took an additional
several years, Berg says."

Quindi dopo un esplosione e una caduta libera spettacolare i tecnici della Ontrack sono riusciti a recupare in camera bianca la quasi totalita` dei dati. Eppur a guardare bene le foto di quel che rimane sembra che l’hard disk sia messo nelle stesse condizioni se non meglio che dopo un normale incendio "terrestre", quindi prima di gridare ai miracoli della computer forensics e` bene pensare a quali accorgimenti tecnologici sono stati usati per realizzare la "scatola nera" per la protezione dei dati di bordo, sarebbe molto interessante aver piu` informazioni sugli accorgimenti introdotti per proteggere gli hard disk.

• Analisi forense di un ATM Skimmer
• Recuperare una partizione cancellata
• How to recover data and deleted files from Ext3 partitions

• Helpful Oracle Queries

1. Clonare la carta di credito
2. Annotare il codice segreto (PIN) che in alcuni casi viene fatta con l’installazione di una microtelecamera
3. Memorizzare il tutto in una memoria interna

Questo in sintesi.
Sistemi di ultima generazione possono avere un collegamento verso il mondo esterno, telefonico o internet (WiFi o GPRS/UMTS) per trasmettere i dati memorizzati, in modo che il criminale non debba tornare a recuperarli.
Il panorama e` ampio e varia da dispositivi tascabili, che un cameriare puo` nascondere sotto la giacca, a circuiti elettronici da inserire nei terminali di pagamento di un negozio, a veri e propri bancomat fasulli da montare sopra gli sportelli delle banche.
Ricordiamo che l’utente e` protetto da queste frodi dal diritto di contestazione dell’addebito di cui ho gia` parlato.
Spesso questa tipologia di truffa viene smascherata perche` viene scoperta l’infrazione fisica agli ambienti per poter piazzare gli skimmer nei terminali di pagamento o perche` un gran numero di carte di credito clonate sono state usate tutte dallo stesso terminale.
Un analisi forense di uno skimmer deve esser finalizzata a:

1 – Prendere conoscenza dell’hardware elettronico:

• E` un prodotto che si trova in commercio? (Esistono dei prodotti creati per fare debug che potrebbero essere usati allo scopo)
• E` un prodotto commerciale addattato?
• E` un prodotto assemblato in casa?
• Identificazione di ogni componente elettronico, e grazie ai datasheet messi a disposizione dalle case madri cercare di capire cosa fanno le singole parti elettroniche
• Identificazione degli input e degli output del sistema (in particolare se il sistema e` connesso al mondo esterno)

2 – Analisi del software

• Dump di tutto il software e delle memorie
• Reverse engeneering del software
• Ricerca dei dati delle carte di credito clonate (fondamentale per l’incriminazione)

Di norma svolgere un’analisi forense su uno skimmer non e` un compito difficile.

Links:

• Fraud or feature?
• Phish and Chips
• Chip and PIN (EMV) Point-of-Sale Terminal Interceptor
• Chip and PIN security and the relay attack
• Tamper resistance of Chip & PIN (EMV) terminals
• Distance bounding against smartcard relay attacks
• Credit Card Skimming
• EMV: Integrated Circuit Card Specifications for Payment Systems
• Sample ATM Skimmer Device

• L’Hard Disk del Columbia
• How to recover data and deleted files from Ext3 partitions

Files from ext3 partitions can be recovered. Found evidence and recover files from file systems is a common task of a forenser.

Example : We see how try to recover data from a partition, like /dev/sda1.
First of all you need a dump, a copy of our partition where we can work:

dd if=/dev/sda1 of=dump.dd

Now install Sleuth Kit, and to view all of the deleted file names in an image use:

fls -rd dump.dd | less

This shows us the full path that the deleted files are located.
The number at the beginning of the line is the inode number.
The ‘*’ shows that it is deleted and the ‘d’ and ‘r’ show the type (directory and file).
The first letter identifies the directory entry type value (which does not exist in all file system types) and the second letter is the type according to the inode.
In most cases these should be the same, but it may not for deleted files if the inode has been reallocated to a file of a different type.
We can examine an inode using istat, here i examine inode number 123:

istat dump.dd 123

To identify the group where the file that we want to recover is in we get the list of file system groups:

fsstat dump.dd

Now we can identify tha inode range, like 45 – 67, that we want. To search
for the deleted file, we extract the unallocated space:

dls dump.dd 45-67 > files.dls

We can analyze files.dls with a data carving software like foremost or the great photorec and we get all recovereble files.

• L’Hard Disk del Columbia
• Analisi forense di un ATM Skimmer

• How to Decrypt 802.11
• Performance
• Display Filter Reference
• File Format Reference
• Switch Reference
• Hub Reference
• Practical Jokes

Random Posts

• Adoro questo lavoro
• Contestazione dell’addebito su Carta di Credito: come riparare alle fregature
• Sexgage
• Twitter.. ecco lo sapevo che finiva cosi
• Lol: Se le Distribuzioni Linux fossero ragazze

Random Posts

• 10 Best Security Live CD Distros
• Cinema: Per sesso o per amore
• Esame di analisi matematica ad ingegneria
• Cinema: Star Wars episodio III
• Cinema: Leoni per Agnelli