Posts Tagged ‘forensic’

L’Hard Disk del Columbia

Saturday, June 7th, 2008

Vi ricordate la tragedia dello shuttle Columbia che esplose ad alta quota nella fase di rientro nell’orbita terrestre? Cito qualche frase da questo articolo:

"Researchers have finally published the results of data recovered from a cracked and singed hard drive that fell to Earth in the debris from the Space Shuttle Columbia, which broke up during reentry on February 1, 2003, killing all seven crew members.

When the Glenn engineers learned that the hard drive had indeed survived, they sent it to Ontrack Data Recovery in Minneapolis to extract whatever data remained in the cracked hard drive disk.
The data came back about 99 percent complete, but the results were so
complex that isolating the shear-thinning effect took an additional
several years, Berg says."

Quindi dopo un esplosione e una caduta libera spettacolare i tecnici della Ontrack sono riusciti a recupare in camera bianca la quasi totalita` dei dati. Eppur a guardare bene le foto di quel che rimane sembra che l’hard disk sia messo nelle stesse condizioni se non meglio che dopo un normale incendio "terrestre", quindi prima di gridare ai miracoli della computer forensics e` bene pensare a quali accorgimenti tecnologici sono stati usati per realizzare la "scatola nera" per la protezione dei dati di bordo, sarebbe molto interessante aver piu` informazioni sugli accorgimenti introdotti per proteggere gli hard disk.

Analisi forense di un ATM Skimmer

Saturday, August 25th, 2007

I reati di clonazione di bancomat e carte di credito compiuta con l’installazione abusiva di appositi strumenti elettronici chiamati ATM Skimmer nei terminali per il pagamento elettronico o negli sportelli bancomat sono molto frequenti.
Un ATM Skimmer e` un dispositivo elettronico che il criminale inserisce abusivamente in un terminale per il pagamento o per il prelievo di contante, cioe` dove viene strisciata la carta di credito nei negozi o nei bancomat, e che contiene una piccola circuiteria elettronica per al fine di:

  1. Clonare la carta di credito
  2. Annotare il codice segreto (PIN) che in alcuni casi viene fatta con l’installazione di una microtelecamera
  3. Memorizzare il tutto in una memoria interna

Questo in sintesi.
Sistemi di ultima generazione possono avere un collegamento verso il mondo esterno, telefonico o internet (WiFi o GPRS/UMTS) per trasmettere i dati memorizzati, in modo che il criminale non debba tornare a recuperarli.
Il panorama e` ampio e varia da dispositivi tascabili, che un cameriare puo` nascondere sotto la giacca, a circuiti elettronici da inserire nei terminali di pagamento di un negozio, a veri e propri bancomat fasulli da montare sopra gli sportelli delle banche.
Ricordiamo che l’utente e` protetto da queste frodi dal diritto di contestazione dell’addebito di cui ho gia` parlato.
Spesso questa tipologia di truffa viene smascherata perche` viene scoperta l’infrazione fisica agli ambienti per poter piazzare gli skimmer nei terminali di pagamento o perche` un gran numero di carte di credito clonate sono state usate tutte dallo stesso terminale.
Un analisi forense di uno skimmer deve esser finalizzata a:

1 – Prendere conoscenza dell’hardware elettronico:

  • E` un prodotto che si trova in commercio? (Esistono dei prodotti creati per fare debug che potrebbero essere usati allo scopo)
  • E` un prodotto commerciale addattato?
  • E` un prodotto assemblato in casa?
  • Identificazione di ogni componente elettronico, e grazie ai datasheet messi a disposizione dalle case madri cercare di capire cosa fanno le singole parti elettroniche
  • Identificazione degli input e degli output del sistema (in particolare se il sistema e` connesso al mondo esterno)

2 – Analisi del software

  • Dump di tutto il software e delle memorie
  • Reverse engeneering del software
  • Ricerca dei dati delle carte di credito clonate (fondamentale per l’incriminazione)

Di norma svolgere un’analisi forense su uno skimmer non e` un compito difficile.

Links:

How to recover data and deleted files from Ext3 partitions

Saturday, August 4th, 2007

A lot of times aroud the net i read posts like "help help! my cat walking over my keyboard delete some files and i must recover it" and a lot of times the answars is "you can’t undelete or recover files from ext3 partitions, i am sorry".
This is wrong.

Files from ext3 partitions can be recovered. Found evidence and recover files from file systems is a common task of a forenser.

Example : We see how try to recover data from a partition, like /dev/sda1.
First of all you need a dump, a copy of our partition where we can work:

dd if=/dev/sda1 of=dump.dd

Now install Sleuth Kit, and to view all of the deleted file names in an image use:

fls -rd dump.dd | less

This shows us the full path that the deleted files are located.
The number at the beginning of the line is the inode number.
The ‘*’ shows that it is deleted and the ‘d’ and ‘r’ show the type (directory and file).
The first letter identifies the directory entry type value (which does not exist in all file system types) and the second letter is the type according to the inode.
In most cases these should be the same, but it may not for deleted files if the inode has been reallocated to a file of a different type.
We can examine an inode using istat, here i examine inode number 123:

istat dump.dd 123

To identify the group where the file that we want to recover is in we get the list of file system groups:

fsstat dump.dd

Now we can identify tha inode range, like 45 – 67, that we want. To search
for the deleted file, we extract the unallocated space:

dls dump.dd 45-67 > files.dls

We can analyze files.dls with a data carving software like foremost or the great photorec and we get all recovereble files.