Discussione:
Perquisizioni informatiche.
(troppo vecchio per rispondere)
Ironside
2015-10-05 18:18:12 UTC
Permalink
Sul tavolo di una forza di polizia giudiziaria (che sia l'aliquota, o la
polizia postale, o i carabinieri o la gdf non importa) arriva un decreto
di perquisizione da svolgere a casa di Mario Rossi sospettato di essere
un super-mega-acher :-) .

Che fanno?
Gli vanno a suonare alle 7 di mattina? (1)
Si appostano fuori della porta in borghese e aspettano che lui apra la
porta per uscire o entrare e a quel punto si qualificano?
Sfondano la porta? (2)
Entrano dalla finestra facendosi aiutare dai vigili del fuoco? (3)

(1) poteva andar bene fino a qualche anno fa. Oggi con le dimensioni
delle memorie (microsd da 64 gb grande quanto un'unghia) se un hacker si
sente suonare alla porta di casa alle 7 di mattina, prima di andare a
chiedere chi è immagino che la microsd finisca nel cesso avvolta dalla
carta igienica, con sciaquone tirato; e che i vari server pirata
allestiti in casa senza hard disk ma con distribuzioni live da cd e
memoria di massa su ramdrive su ram (protetti da gruppo di continuità in
caso di blackout) vengano disalimentati prima di andare ad aprire...

(2) Procedimento assai rumoroso e che richiede qualche minuto per le
porte blindate di ultima generazione; l'indagato fa in tempo a procedere
con le operazioni di distruzione delle fonti di prova come da punto 1

(3) Sicuramente piu' veloce del caso 2 ma anch'esso non immediato e
rumoroso.
Leonardo Serni
2015-10-05 19:52:39 UTC
Permalink
Post by Ironside
(1) poteva andar bene fino a qualche anno fa. Oggi con le dimensioni
delle memorie (microsd da 64 gb grande quanto un'unghia) se un hacker si
sente suonare alla porta di casa alle 7 di mattina, prima di andare a
chiedere chi è immagino che la microsd finisca nel cesso avvolta dalla
carta igienica, con sciaquone tirato; e che i vari server pirata
allestiti in casa senza hard disk ma con distribuzioni live da cd e
memoria di massa su ramdrive su ram (protetti da gruppo di continuità in
caso di blackout) vengano disalimentati prima di andare ad aprire...
In teoria. In pratica è noioso e rischioso, e ti stupirebbe sapere quanta
poca gente si prenda il disturbo.

E, d'altra parte, a quei dati uno deve *accedere* se vuole trarne qualche
svgo, e l'accesso lascia [quasi sempre] tracce abbastanza visibili.

Il lato negativo è che uno smanettone con un sistema di CRS, e magari due
o tre VM in cleanup-after-shutdown e/o Windows SteadyState, magari non ha
assolutamente niente di losco da nessuna parte...

...ma ci sta che abbia difficoltà a dimostrarlo.

Leonardo
--
Now suppose -just suppose- I could show you a way to
manufacture a wall that would do the same job... but
was only one inch thick.
Skull
2015-10-05 20:28:17 UTC
Permalink
Post by Leonardo Serni
In teoria. In pratica è noioso e rischioso, e ti stupirebbe sapere quanta
poca gente si prenda il disturbo.
E, d'altra parte, a quei dati uno deve *accedere* se vuole trarne qualche
svgo, e l'accesso lascia [quasi sempre] tracce abbastanza visibili.
L'unico caso in cui so per certo che l'individuo oggetto di
investigazione aveva tutto su ramdisk, l'han fregato comunque.

E' bastato monitorarlo per un po' per conoscere le precauzioni che
prendeva (sbragava al riguardo, chattando coi suoi compari). Dopodichè
si son appostati dall'altra parte della strada e han aspettato che
uscisse per andare a fare la spesa.

Quando era per strada con le mani occupate dalle borse in due han
fermato lui mentre il resto della squadra irrompeva nell'appartamento.


Dove, ovviamente, era tutto acceso come l'aveva lasciato... ^_^
Leonardo Serni
2015-10-06 00:17:39 UTC
Permalink
Post by Skull
L'unico caso in cui so per certo che l'individuo oggetto di
investigazione aveva tutto su ramdisk, l'han fregato comunque.
E' bastato monitorarlo per un po' per conoscere le precauzioni che
prendeva (sbragava al riguardo, chattando coi suoi compari). Dopodichè
si son appostati dall'altra parte della strada e han aspettato che
uscisse per andare a fare la spesa.
Quando era per strada con le mani occupate dalle borse in due han
fermato lui mentre il resto della squadra irrompeva nell'appartamento.
Dove, ovviamente, era tutto acceso come l'aveva lasciato... ^_^
E LOL sia.

Anche se ho un po' la curiosità di sapere da dove caricasse il ramdisk: io
non avrei il coraggio di tenere...

...uhm. Be', o forse farei meglio a dire: dopo i vari problemi avuti da un
certo server, e sympaticamente ribattezzati "balzi nel tempo", non ho *più
avuto* il coraggio di tenere tutto solo su un RAMdisk.

(E anche la volta che l'ho fatto, il motivo non era certo il timore di una
irruzione delle FF.OO.; tanto più che il server stava alla porta accanto a
quella della Questura :-D ).

Leonardo
--
Now suppose -just suppose- I could show you a way to
manufacture a wall that would do the same job... but
was only one inch thick.
Lex Tutor
2015-10-06 10:54:52 UTC
Permalink
Post by Leonardo Serni
tanto più che il server stava alla porta accanto a
quella della Questura :-D ).
E poi ti lamenti se ti accomuno a certa gentaglia corrotta...
--
Lex Tutor
L'Asilo Infantile di Bofhland® è un argomento che sarà oggetto
di un libro di prossima pubblicazione, quindi sto discutendo
di una questione che mi interessa per finalità di ricerca
Leonardo Serni
2015-10-06 13:18:05 UTC
Permalink
Post by Lex Tutor
Post by Leonardo Serni
tanto più che il server stava alla porta accanto a
quella della Questura :-D ).
E poi ti lamenti se ti accomuno a certa gentaglia corrotta...
Suvvia! Stavo semplicemente lì vicino. Intanto la corruzione non è né una
radiazione ionizzante né la benedizione Pasquale[1]. Poi io alla Questura
di Firenze conoscevo a malapena il vice-questore, e tre o quattro tizi di
sfuggita: potevano essere corrotti, o addirittura (Dio ne scampi!) gobbi,
e non l'avrei mai saputo.

E conoscevo due della Scientifica, lì vicino, come persone correttissime.

Lì accanto c'era pure, all'epoca, il Celebrity Center di Scientology: per
questa strana legge del contagio prossimale in cui sembri credere, dovrei
preoccuparmi d'avere qualche body thetan a giro per il sigma colico :-D

Ma prevenendo la tua prossima domanda: tranquillo, l'acquario ce l'ho[2].

Leonardo "insieme all'asciugamano"

[1] che, secondo il detto popolare, "passa attraverso sette muri"
[2] https://it.answers.yahoo.com/question/index?qid=20061103023404AAqLQi9
--
Now suppose -just suppose- I could show you a way to
manufacture a wall that would do the same job... but
was only one inch thick.
Ironside
2015-10-06 11:17:46 UTC
Permalink
Post by Leonardo Serni
(E anche la volta che l'ho fatto, il motivo non era certo il timore di una
irruzione delle FF.OO.; tanto più che il server stava alla porta accanto a
quella della Questura :-D ).
dal tuo ufficio lì accanto si sentiva il rumore degli indagati che
ruzzolano sulle scale scivolose? (parlo di quelli che non vogliono
rilevare la password truecrypt)
Leonardo Serni
2015-10-06 20:50:19 UTC
Permalink
Post by Ironside
Post by Leonardo Serni
(E anche la volta che l'ho fatto, il motivo non era certo il timore di una
irruzione delle FF.OO.; tanto più che il server stava alla porta accanto a
quella della Questura :-D ).
dal tuo ufficio lì accanto si sentiva il rumore degli indagati che
ruzzolano sulle scale scivolose? (parlo di quelli che non vogliono
rilevare la password truecrypt)
LOL, no. All'epoca l'informatica, diciamo così, giudiziaria era agli albori;
a dire "truecrypt" si rimediava solo uno sguardo vacuo.

Leonardo
--
Now suppose -just suppose- I could show you a way to
manufacture a wall that would do the same job... but
was only one inch thick.
Ironside
2015-10-07 07:54:52 UTC
Permalink
Post by Leonardo Serni
Post by Ironside
Post by Leonardo Serni
(E anche la volta che l'ho fatto, il motivo non era certo il timore di una
irruzione delle FF.OO.; tanto più che il server stava alla porta accanto a
quella della Questura :-D ).
dal tuo ufficio lì accanto si sentiva il rumore degli indagati che
ruzzolano sulle scale scivolose? (parlo di quelli che non vogliono
rilevare la password truecrypt)
LOL, no. All'epoca l'informatica, diciamo così, giudiziaria era agli albori;
a dire "truecrypt" si rimediava solo uno sguardo vacuo.
Magari non c'era truecrypt (nel 2001 mi ricordo un certo bestcrypt) ma
in ogni caso un qualunque programmatore quasi dilettante puo' scriversi
un tools che prende un file, lo legge byte per byte e lo risalva su un
altro file, con i dati "ruotati" secondo un algoritmo di sua invenzione,
anche abbastanza banale, magari dipendente dalla password inserita
dall'utente.

Forse criptato così, il file, sarebbe piu' difficile da crackare per un
consulente informatico se quest'ultimo lavora per schemi (1), sarebbe
piu' adatto un matematico che dovrebbe fare un lavoro tipo "a beautiful
mind" o "the imitation game", che però non è detto che abbia
l'intuizione di beccare l'algoritmo.

(1) per schemi intendo di provare in ordine vari tools di crackaggio o
bruteforce con gli algoritmi conosciuti.

(Io quando ero minorenne e scaricavo le gif porno (porno legali, si
intende) dalle bbs, mi ero fatto un programmino che cambiava
l'intestazione gif87 o gif89a (non ricordo) con una stringa a cazzo
dopodiché rinominava il file in un nome che non dava sospetti tipo
system.bin
Mio padre non avrebbe potuto sgamarmele probabilmente neanche se avesse
cercato di aprire col vpic (all'epoca si usava quel programma sotto dos)
il file system.bin sospettando che contenesse potta.)
(A parte l'intestazione, tutto il resto del file rimaneva uguale, quindi
sicuramente con un tool di forensic o con un programma piu' evoluto di
grafica che permetteva un apertura forzata (ad esempio per recuperare
immagini parzialmente corrotte) saltava fuori che conteneva topa, ma per
un nascondiglio famigliare bastava.
Claiudio
2015-10-07 09:15:54 UTC
Permalink
Post by Ironside
Magari non c'era truecrypt (nel 2001 mi ricordo un certo bestcrypt) ma
Nel 2001 credo che ci fosse già loop-aes.

Ironside
2015-10-06 07:57:54 UTC
Permalink
Post by Leonardo Serni
Post by Ironside
(1) poteva andar bene fino a qualche anno fa. Oggi con le dimensioni
delle memorie (microsd da 64 gb grande quanto un'unghia) se un hacker si
sente suonare alla porta di casa alle 7 di mattina, prima di andare a
chiedere chi è immagino che la microsd finisca nel cesso avvolta dalla
carta igienica, con sciaquone tirato; e che i vari server pirata
allestiti in casa senza hard disk ma con distribuzioni live da cd e
memoria di massa su ramdrive su ram (protetti da gruppo di continuità in
caso di blackout) vengano disalimentati prima di andare ad aprire...
In teoria. In pratica è noioso e rischioso, e ti stupirebbe sapere quanta
poca gente si prenda il disturbo.
E, d'altra parte, a quei dati uno deve *accedere* se vuole trarne qualche
svgo, e l'accesso lascia [quasi sempre] tracce abbastanza visibili.
Chiaro. Pero' se gli trovano un accesso a H:\matrimonio_guido.mp4 che ne
sanno se era il filmato del matrimonio di un amico o un pdp (non paperon
de paperoni) illegale con nome camuffato?
Post by Leonardo Serni
Il lato negativo è che uno smanettone con un sistema di CRS, e magari due
o tre VM in cleanup-after-shutdown e/o Windows SteadyState, magari non ha
assolutamente niente di losco da nessuna parte...
...ma ci sta che abbia difficoltà a dimostrarlo.
Oppure un file vmware dentro una partizione hidden di truecrypt. Con i
computer odierni si riesce ad avere una velocità decente. Magari
smanettando un po' , dopo aver fatto, una partizione hidden di truecrypt
in un file da 5 giga, in cui i primi 600 mega siano la partizione non
hidden, si riesce a sovrascrivere i primi 600 mega del file truecrypt
con dati coerenti, ad esempio il vero header di un file video e i primi
600 mega di un vero video in quel formato e chiamarlo col vero nome di
un video, esempio vacanzeestive.mp4
I toold di forensics che guardano l'intestazione riconoscono che è un
file video, se lo fai partire parte, semplicemente è "corrotto" dal 600
mega in poi dove anziché il video ci sono dati random (che poi random
non sono, sono la partizione crittata)

Anche se riuscissero a sgamare che c'è una partizione truecrypt non
riuscirebbero a decrittarla: "la password? era un keyfile dentro una
sdcard che ho smarrito";

a meno che non sia l'indagato a parlare spontaneamente dopo essere
ruzzolato dalle scale della Questura ed essersi riempito di lividi, ma
mi piace affrontare la questione solo dal punto di vista "informatico"


A quel punto la partizione TC si sospetta che ci sia, ma al giudice che
gli portano? La possibilità che forse ci sia? Anche se l'indagato
dovesse avere VPN panamensi, TOR da live cd, distribuzioni backtrack e
schedine wifi con antenne direttive, sim card straniere, ecc, ciò non
dimostra nello specifico che sia colpevole di quel reato.
Leonardo Serni
2015-10-06 13:23:08 UTC
Permalink
Post by Ironside
Post by Leonardo Serni
Il lato negativo è che uno smanettone con un sistema di CRS, e magari due
o tre VM in cleanup-after-shutdown e/o Windows SteadyState, magari non ha
assolutamente niente di losco da nessuna parte...
...ma ci sta che abbia difficoltà a dimostrarlo.
Oppure un file vmware dentro una partizione hidden di truecrypt. Con i
computer odierni si riesce ad avere una velocità decente. Magari
smanettando un po' , dopo aver fatto, una partizione hidden di truecrypt
in un file da 5 giga, in cui i primi 600 mega siano la partizione non
hidden, si riesce a sovrascrivere i primi 600 mega del file truecrypt
con dati coerenti, ad esempio il vero header di un file video e i primi
600 mega di un vero video in quel formato e chiamarlo col vero nome di
un video, esempio vacanzeestive.mp4
Hmmm. Questo genere di setup qualche dubbio me lo farebbero venire. No, io
parlavo proprio di VM riconoscibili come tali (per es., io ce n'ho otto su
questo PC che sto usando: sono cloni di macchine di sviluppo e staging).
Post by Ironside
A quel punto la partizione TC si sospetta che ci sia, ma al giudice che
gli portano? La possibilità che forse ci sia? Anche se l'indagato
dovesse avere VPN panamensi, TOR da live cd, distribuzioni backtrack e
schedine wifi con antenne direttive, sim card straniere, ecc, ciò non
dimostra nello specifico che sia colpevole di quel reato.
No, è vero. Ma il giudice è un essere umano - e creargli *simultaneamente*
la convinzione che io sia un pezzodimerda e che io l'abbia fregato sarebbe
pessima educazione, segno di natura gretta e nessun einseignamen :-)

Leonardo
--
Now suppose -just suppose- I could show you a way to
manufacture a wall that would do the same job... but
was only one inch thick.
Continua a leggere su narkive:
Loading...