Skip to content

PERMACOIN: SUCCESSO O UTOPIA?

Microsoft Research e l’Università del Maryland hanno messo a punto il Progetto Permacoin: una criptomoneta che si guadagna mettendo a disposizione parte del proprio storage per l’archiviazione di dati altrui. La ricompensa sarà proporzionale allo spazio concesso e al tempo in cui si manterranno on line le proprie risorse. Lo scopo di questo progetto è quello di ridondare l’informazione di pubblico interesse, garantendone la fruibilità anche in situazioni critiche, come ad esempio lo Shutdown di un Server. Per evitare imbrogli sulla circolazione delle informazioni e lo scambio di Permacoin, ai dati verrà associata una chiave univoca crittografata, analogamente a quanto visto con i Bitcoin. In definitiva, maggiore è la garanzia di fruibilità e dimensione di archiviazione del dato pubblico che siamo in grado di offrire, maggiore è il guadagno in Permacoin che ne possiamo trarre. Nonostante il progetto sia ancora in piena fase di sviluppo, diverse aziende hanno già mostrato interesse. Se i Permacoin arrivassero ad un valore tale da giustificare l’acquisto di un hardware dedicato, il progetto si rivelerebbe certamente un successo. Per ora il rischio “utopia” rimane ancora molto alto. Voi cedereste un po’ di spazio del vostro hard disk in cambio di Permacoin?

Permacoin DM datarecovery

guadagnare permacoin

Recuperati i dati da Un Floppy Disk appartenente a Andy Warhol

Oggi parliamo di recupero dati, ma lo facciamo in un modo più leggero e divertente.

L’ Andy Warhol Museum di Pittsburgh ha da poco annunciato una nuova scoperta, il recupero di alcuni esperimenti artistici realizzati a computer dall’artista stesso nel 1985.

I file, intrappolati in un vecchio floppy disk Amiga conservato presso gli archivi del museo, sono stati estratti dopo un’elaborata procedura dagli esperti del Computer Club studentesco della Carnegie Mellon University. L’operazione è stata documentata, e sarà inserita all’interno della serie “The Invisible Photograph” realizzata dal Carnegie Museum of Art.

Gli esperimenti di Warhol su un computer Amiga, all’epoca lontano dall’uso domestico, sarebbero stati commissionati dalla Commodore International per offrire una dimostrazione delle abilità grafiche e artistiche della macchina.
Tra i file recuperati sono state trovati interventi a celebri icone abitualmente impiegate dall’artista, tra cui Marilyn Monroe e le lattine di zuppa Campbell.

“Warhol non vedeva limiti nella sua pratica artistica. – ha commentato Eric Shiner, direttore del museo – Queste immagini, generate con l’uso di un computer, sottolineano il desiderio di sperimentazione e la volontà di affidarsi a nuovi media: tutte qualità che, in molti modi, hanno definito la sua attività dai primi anni Sessanta in poi”. 

fonte: lastampa.it

recupero dati andy warhol amiga amiga andy warhol

 

 

 

 

 

 

 

CYBERSTALKING: Quando Facebook diventa oggetto di indagine

Facebook, il social network più famoso e discusso della rete, ha da poco compiuto 10 anni. L’invenzione di Mark Zuckenberg, complice l’avvento del WEB 2.0, ha rivoluzionato il modo di comunicare e condividere contenuti in rete. Tramite questa piattaforma, che attualmente conta oltre un miliardo di iscritti, gli utenti dispongono di una vera e propria vetrina digitale, attraverso la quale transitano quotidianamente enormi quantità di informazioni pubbliche, private, personali e commerciali.

Come è noto anche ai non addetti, questa estrema facilità di comunicazione semplifica e in qualche modo agevola la commissione di reati.

Nell’ambito di uno studio condotto nel 2002 da Leroy McFarlane e Paul Bocij[1], si evidenzia come il WEB 2.0 e l’avvento del social networking abbiano addirittura incoraggiato anche l’individuo più insospettabile a delinquere. Le nuove tecnologie, infatti, creano spesso nell’individuo l’illusione dell’anonimato, spingendolo a commettere azioni criminose senza avvertire la paura di ricevere sanzioni.

Nel caso di un indagato è perfino possibile creare falsi alibi, ad esempio, un accesso alla propria casella di posta elettronica dal proprio luogo di residenza, può smentire l’effettiva presenza di un presunto colpevole sul luogo di un delitto.

Il reato più comune commesso in rete è probabilmente quello di stalking. Con questo termine si identifica qualsiasi tipo di molestia ripetuta in maniera ossessiva (pedinamento, minaccia verbale, minaccia fisica) che genera stati di ansia e paura in chi la subisce, con conseguenze che possono essere anche molto gravi.

Lo stalking on line viene definito CYBERSTALKING[2], e il cyberstalker è uno stalker a tutti gli effetti che si serve del web come ulteriore mezzo e facilitazione per importunare la vittima (anche due soli episodi di minaccia o molestia possono valere ad integrare il reato di atti persecutori previsto dall’art. 612 bis c.p. laddove abbiano indotto un perdurante stato d’ansia o di paura nella vittima[3]).

Secondo il codice di procedura penale articolo 247 par. 1-bis “…Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.

Proprio in quanto piattaforma di social networking più famosa del web, Facebook è inevitabilmente oggetto di analisi forense.

Cosa cerchiamo?

Tracce di attività come la ricerca di utenti/amici, la generazione di post e commenti sulla propria e sulla bacheca altrui, la creazione di eventi, tag su foto e video, l’invio di messaggi a gruppi di utenti e la chat in generale, costituiscono le evidenze che l’analista forense si propone di ottenere nell’ambito di questa analisi specifica.

Situazioni di indagine che possono considerarsi favorevoli si verificano nel momento in cui l’analista è a conoscenza delle credenziali di accesso relative all’account in esame, o indaga su un sistema attivo (quindi acceso e operativo: live analysis), qualora l’utente abbia lasciato una sessione aperta o venga colto in flagranza di reato.

In realtà ci si trova spesso di fronte all’ analisi post-mortem di un dispositivo, caso in cui l’indagine viene condotta a sistema spento, in un momento successivo all’eventuale commissione del reato da parte dell’indagato. Questo tipo di analisi è l’unica conducibile in mancanza delle credenziali di accesso dell’account in esame, in quanto il traffico generato sul social network è accessibile esclusivamente dall’utente proprietario e dal gestore della piattaforma.

Il profilo di interesse potrebbe essere acquisito contattando direttamente la sede legale di Facebook, ma in questo caso bisognerebbe fare i conti con una serie di formalità e passaggi burocratici che farebbero soltanto perdere tempo ai fini dell’indagine.

Si evince inoltre che l’acquisizione di un profilo utente è fortemente condizionata dal gestore. Per l’analista si rivela quindi impossibile a questo punto dimostrare l’autenticità e l’affidabilità delle evidenze ottenute contattando il gestore della piattaforma.

Nel caso di un’analisi post-mortem, si lavora sull’estrazione di tracce conservate all’interno dei dispositivi di memorizzazione oggetto di sequestro, installati nei personal computer utilizzati per l’accesso a Facebook.

Per un esperto forense è facile dimostrare la validità probatoria delle evidenze ottenute tramite questo tipo di analisi. Per contro le probabilità di ottenere evidenze di interesse sono scarse, soprattutto per quanto riguarda le sessioni di chat, di cui nella maggior parte dei casi si riescono ad estrarre pochi messaggi isolati che spesso non contribuiscono a ricostruire la scena di un “cyber crime”.

I risultati significativi che si possono ottenere provengono, come accennato, dall’analisi della memoria di massa del dispositivo in esame, in particolare analizzando la cache dei browser installati oppure i dump della memoria, soprattutto nel caso di dispositivi mobili (iPhone/Android).

In questa sede concentreremo l’attenzione su alcuni aspetti fondamentali di validità generale, in particolare sull’estrazione delle evidenze più facilmente reperibili nell’ambito di casi tipici di indagine (analisi post-mortem di un Hard Disk).

E’ opportuno precisare che commenti, messaggi e chat vengono visualizzati tramite il web browser. Parliamo quindi in sostanza di testo all’interno di codice HTML.

Vediamo alcuni esempi rapidi ma significativi, tratti da uno studio del Valkyrie-X Security Research Group[4].

Nel primo esempio riportato (Fig.1) si nota come dall’analisi della cache dei browser, effettuata tramite il software CacheBack[5], emergano chiaramente ricerche di altri profili effettuate tramite l’account di test (le chiavi di ricerca compaiono come valori dell’attributo “value”), utilizzando volta per volta il nome utente come keyword.

Facebook cache cacheback

Fig. 1 – Analisi di keyword all’interno della cache del browser.

L’esempio successivo mostra l’effettiva reperibilità di commenti ad un post in bacheca. Anche in questo caso, le evidenze riportate sono state estratte tramite l’analisi della cache del browser (Fig. 2).

Facebook commenti 1Facebook commenti 2Fig. 2 – Post e commenti all’interno del codice.

E’ importante notare come il testo sia preceduto dalla chiave “text”, e ancor prima, dal nome dell’utente che lo ha inviato. Da ciò emerge che, per effettuare una ricerca di messaggi di testo/commenti all’interno del codice, può rivelarsi fondamentale conoscere i nomi degli utenti in contatto con l’indagato, al fine di evitare false evidenze (la chiave “text” è molto comune all’interno del codice).

Uno degli aspetti più importanti è senz’altro la ricerca e l’analisi delle sessioni di chat, dove i messaggi vengono conservati in file di piccole dimensioni, nominati “P_<numero>”, con estensione htm o txt e reperibili in RAM, nella cache del browser e nei pagefile.

Internet Evidence Finder di JadSoftware[6], software che approfondiremo in uno dei prossimi articoli, si rivela in questo caso un’ottima scelta per qualità di risultati e report forniti all’analista.

Non sempre si riesce ad ottenere una quantità significativa di occorrenze, tuttavia, i messaggi che si ricavano, vengono mostrati in chiaro corredati di dettagli relativi a data di trasmissione, identificativo, nome mittente e destinatario (Fig. 3).

Fig. 3 – Analisi di evidenze ottenute con Internet Evidence Finder.

E’ opportuno ribadire che il caso di analisi più comune in ambito Facebook è l’indagine post-mortem, conducibile su personal computer e, in generale, su dispositivi digitali che consentono l’accesso alla rete internet e alla piattaforma in esame tramite browser o client installato.

E’ possibile condurre un’indagine di questo tipo in quanto la modalità di utilizzo del social network comporta un traffico di informazioni che non rimane memorizzato esclusivamente all’interno dei server di Facebook, in alcuni casi infatti può bastare lavorare sulla cache del browser utilizzato dall’utente per estrarre, almeno in parte, evidenze significative.

Purtroppo, come evidenziato in precedenza, spesso non è possibile ricostruire lo scenario completo di un crimine tramite l’analisi post-mortem in quanto, ad esempio, lo storico di tutti i messaggi inviati e ricevuti tramite l’account dell’indagato non è reperibile in queste condizioni.

Ci si augura dunque di operare in situazioni ideali o quantomeno favorevoli, in cui si possano ottenere dati di interesse in RAM e un’ elevata e significativa quantità di informazioni conservate all’interno del browser.

Tralasciando inoltre le possibilità di acquisizione di dati del profilo di interesse tramite varie tecniche di intercettazione (WiFi sniffing, friend in the middle attack), possiamo concludere che un’attenta analisi di risultati “post-mortem”, confrontati ed integrati con ulteriori informazioni reperibili come ad esempio l’analisi del client di posta elettronica (notifiche email attive o foto condivise sul social network e successivamente scaricate in locale), contribuiscono a dettagliare ulteriormente lo scenario ricostruibile.

 

 

 

[1] P. Bocij and L. McFarlane, 2002. “Online harassment: Towards a definition of cyberstalking,” Prison Service Journal, volume 139, pp. 31-38

[2] Condotta persecutoria e assillante fatta attraverso il social network integrante la fattispecie di reato delineata nell’art. 612 bis C.P.

[3] Corte di Cassazione, sezione V penale – sentenza 5 luglio 2010, n.25527

[4] http://www.vxrl.org

[5] http://www.cacheback.ca

[6] http://www.jadsoftware.com

Recupero dati da hard disk | S.M.A.R.T. e i problemi legati al suo utilizzo

S.M.A.R.T (Self-Monitoring, Analysis, and Reporting Technology) è un sottosistema presente all’interno del firmware dei più moderni hard disk drive, in grado di monitorare alcuni indicatori di affidabilità (attributi), con la speranza di anticipare un eventuale malfunzionamento e di comunicarlo in tempo all’utente, per dargli modo di effettuare una preventiva copia di backup dei dati presenti nell’unità.

L’insieme degli Attributi S.M.A.R.T. non trova ancora una propria definizione standard e a dire il vero, ogni produttore ne modifica la struttura aggiungendo nuovi attributi, dei quali spesso, purtroppo, non vengono rilasciate informazioni.

Durante la fase di imaging, il firmware ricalcola costantemente i valori degli attributi S.M.A.R.T. e aggiorna i suoi log ogni volta che incontra un problema.
Per fare questo, la testina deve spostarsi dall’Area dati, all’Area di servizio, effettuare l’aggiornamento e tornare nella posizione precedente per proseguire la lettura.
In un hard disk instabile questo sistema produce un significativo rallentamento nel processo di imaging e un aumento del livello di instabilità generale del sistema, che  può portare alla rottura definitiva del gruppo testine.

Un altro problema legato all’uso del sottosistema S.M.A.R.T. durante le fasi di recupero dati da hard disk instabili, è rappresentato dall’eccessivo numero di errori che un drive instabile per sua natura tende a generare. La registrazione di un numero eccessivo di errori nei log può causare il blocco del firmware, aggiungendo un ulteriore grado di complessità all’intero processo di recupero.

I software di imaging professionali utilizzati dalle Aziende di recupero dati sono in grado di disattivare il sottosistema S.M.A.R.T. al fine di scongiurare i problemi di cui sopra.

S.M.A.R.T. Failure | DM data recovery lab

S.M.A.R.T. Failure | DM data recovery lab

Anti-Child Porn Spam Protection – Come funziona

In questi giorni si sente spesso parlare di Ransomware. Per chi non sapesse di cosa stiamo parlando, un Ransomware non è nient’altro che un Malware (un software dannoso) che viene installato illegalmente da cyber criminali, utilizzando la connessione remota, all’interno di PC o Server con il chiaro intento di estorcere denaro.

Quando il Ransomware viene attivato, tutti i dati all’interno della macchina infettata vengono criptati per impedirne l’accesso da parte del malcapitato. Se l’utente tenta di aprire un file, un popup lo informa che per  riavere indietro i suoi dati dovrà versare un ingente somma di denaro.

In questi giorni un Ransomware che porta il nome di Anti-Chilp Porn Spam Protection ha preso in ostaggio i dati di molte Aziende che utilizzano Windows Server come sistema operativo per i loro server, gettando nel panico migliaia di persone.

Il ransomware in questione viene installato da remoto effettuando un attacco con il Tool DUBrute su macchine con Remote Desktop Control (RDP), attraverso la porta 3389.

Questo Tool utilizza delle tabelle raimbow per attaccare gli account utente. Una volta ottenuti i dati di accesso, il malintenzionato libera il malware, cripta tutti i dati presenti nel sistema e al contempo elimina tutte le cartelle che contengono il nome “backup”.

questo è il messaggio che appare se si tenta di accedere ai file

anti-child-snapshot

Soluzioni

Purtroppo ad oggi non sono disponibili soluzioni definitive. Se tentassimo di bucare la password con un attacco a forza bruta, non ci riusciremo prima del big Crunch (l’esatto opposto del big bang, ossia la fine dell’universo).

Una possibilità di riavere indietro i propri dati però c’è:

Il malware, dopo aver criptato i dati crea un file di testo dove salva la password per poi inviarla ad una serie di indirizzi, prima di eseguirne il wipe (cancellazione definitiva),  tra cui:

– security11220@gmail.com

– security11220@yahoo.com

– sec333888@gmail.com

– uksechelp@gmail.com

Se l’invio non fosse andato a buon fine potremmo trovare traccia del file di testo tra i file creati di recente e con un po’ di fortuna risalire  alla nostra password.

 

SMAU Roma 2013

header-roma

Inizia oggi la quarta edizione di SMAU Roma 2013.

Il Padiglione 3 della Nuova Fiera di Roma è pronto ad aprire le sue porte a oltre 100 espositori con 70 interessantissimi Workshop.

Verranno trattati temi caldi come: Cloud Computing, Tablet e Smartphone per il Business, e-commerce, Marketing digitale e molto altro.

smau_roma__506

DM Data Recovery sarà presente durante i tre giorni di fiera con importanti novità nel settore del Data Recovery Professionale e Digital Forensics.

Se sei un operatore del canale IT e vuoi migliorare la tua offerta, da oggi puoi farlo grazie ai programmi di partnership DM.

Se vi trovate nei paraggi e avete voglia di scoprire la nostra offerta o anche solo di fare quattro chiacchiere a suon di tecnologia, contattateci.

Daniele Fabro | CEO di DM Data Recovery, sarà disponibile per voi durante tutta la giornata.

Contattaci al:  +39 349 32 00 617

Buon SMAU 2013 a tutti.

Solidata lancia il suo primo SSD da 2TB con controller SandForce SF-1222

ImmagineSolidata ha annunciato il suo nuovo SSD 1920GB ad alta capacità  basato su controller LSI SandForce SF-1222. 

Se osserviamo il pcb notiamo non uno ma ben 4 controller LSI SandForce SF-1222 circondati da 16 moduli di memoria MLC ad alta velocità MT29F512G08CUCABH3 prodotti da Micron, supportati da un interfaccia di tipo SATA II (3Gb/s). Durante un primo test è stata misurata una velocità in lettura di 240MB/s e una velocità in scrittura di 210MB/s, mentre sono 6000 e 4000 i cicli di IOPS casuali, in lettura e scrittura rispettivamente.

Immagine

Solidata ha confermato di voler commercializzare il proprio prodotto verso la fine di questo Gennaio in due diverse configurazioni: Retail con temperature di esercizio di 0-70 °C ed una versione industriale, in grado di operare entro un range di temperature comprese tra -40 e 85°C. I prezzi non sono stati ancora resi noti.