CFI - Computer Forensics Italy

Da qualche settimana eravamo impegnati nella realizzazione del primo forensics game della nostra mailing list.
Il lavoro si è rivelato impegnativo, ma divertente. È importante trovare la giusta misura di difficoltà, per renderlo utile ai fini didattici, mantenendo il divertimento e non trasformandolo in una semplice palestra per applicare irrealisticamente concetti teorici.

Il game che vi presentiamo è finalizzato a permettervi di confrontarvi con le vostre capacità e di apprendere dall'operato altrui, leggendone i report.
Non è richiesto l'utilizzo di strumenti software introvabili, ogni operazione può essere svolta con tool open source, o in alternativa freeware.
La risoluzione non è da ricercarsi con il solo utilizzo della tecnica, dovrete operare facendo vibrare il vostro naso da segugi, metterci un po' di fiuto investigativo insomma.
Lo story board vi permette di creare l'ambientazione del game, che speriamo troviate realistica, fornandovi tutte le informazioni necessarie ad operare ed il quesito al quale rispondere, il vostro mandato!

la soluzione dovrà esserci inviata direttamente per posta elettronica ad entrambi i seguenti indirizzi di posta elettronica:
- denisDOTfratiATcybercrimesDOTit;
-nannibATlibero.it;

Farà fede la data ed ora riportata dai nostri server di posta. Non sono accettati altri mezzi di invio della soluzione.

Riferimenti a fatti, persone, luogi ed avvenimenti reali è del tutto casuale.

Storyboard

Il 16 Aprile un uomo atterra all'aeroporto di Trantor (nel paese Z), proveniente da Edimburgo con volo EasyJet.
Al controllo delle polizia di frontiera, la carta di identità, inestata a Primo Catozzo, risulterà presentare impercettibili abrasioni in corrispondenza dei dati personali, tali dal far sospettare una contraffazione.
Il documento risulterà, attraverso l'interrogazione alle banche dati, essere stato smarrito l'anno precedente ed essere intestato ad altra persona.
L'uomo, che rifiuta di dare le proprie generalità, viene sottoposto ai rilievi fotodattiloscopici, attraverso i quali sarà identificato per Barbuto Andrea.

Il servizio informazioni militare fornisce informazioni riguardo al Barbuto, secondo le quali avrebbe in passato lavorato per la Executive Service, società di reclutamento mercenari, per la quale avrebbe operato inserito nel dispositivo di sicurezza della Sigma Oil, multinazionale impegnata nello sfruttamento delle risorse naturali nel paese X.
Il servizio informazioni riferisce inoltre, che tornato dal paese X afine 2006, il Barbuto si sarebbe inspiegabilmente convertito all'Islam, entrando in breve in contrasto con gli imam moderati presenti nelle moschee del nostro paese.

Nel maggio 2007 il Barbuto sarebbe partito alla volta del Pakistan dove, nelle regioni di confine con l'Afghanistan, sarebbe entrato in contatto con il movimento terrorista guidato dda Al-Rashid Mustafa, nei confronti del quale vi è un mandato di cattura internazionale.
Dalle informazioni raccolte dal nostro servizio informazioni militare, il Barbuto sembrerebbe essere coinvolto in attentati effettuati in Afghanistan contro autocolonne della NATO.
Il Barbuto non risulta avere famigliari in vita nel nostro paese.

Il soggetto sottoposto a fermo di polizia, viene perquisito, operazione svolta anche sul suo bagaglio, portando al rinvenimento, nascosta nell'imbottutura dello schienale dello zaino, di una penna usb.

Il Servizio Investigazioni Speciali ed il Magistrato di turno, incaricato dell'indagine, visto il profilo del personaggio, temono che il Barbuto possa essere rientrato nel nostro paese (Z) per compiere attentati.

Quale agente dell'Ufficio Investigazioni Crimini Tecnologici della Procura di Trantor, vieni incaricato dell'analisi del supporto di memoria rinvenuto durante la perquisizione, al fine di addivenire ad ulteriori informazioni circa l'attività posta in essere nel nostro paese dal Barbuto e presumibilmente coordinata dall'Al-Rashid Mustafa (il vostro mandato).

Nel tuo laboratorio acquisisci l'immagine della pendrive utilizzando l'ultima versione del live-cd Helix.
L'hash MD5 del device, coicidente con quello della chiave, risulta esser pari a:

67a386d766b28f4e92434c7feb447888

Ora non ti resta che passare all'analisi dell'immagine utilizzando gli strumenti a te più congeniali.
Al termine redigerai relazione tecnica.

Nel tuo laboratorio acquisisci l'immagine della pendrive utilizzando il live-cd Helix 1.9a

La finalità di questo game è quella di testare le capacità di acquisizione, analisi, valutazione e reporting del computer forenser.

Il tutto è studiato su un sistema “realistico” di informations hiding (occultamento delle informazioni), quindi senza l'utilizzo di tecniche very geek o da stregoni dell'anti-forensics.

Non vi è STEGANOGRAFIA.

Non vi è CIFRATURA di alcun genere.

Non vi sono partizioni occulte o finti bad sectors et similia.

I mezzi per recuperare tutte le informazioni importanti sono quelli classici, il tutto è basato sulla fantasia, l'intuito, le competenze e l'attenzione al particolare.

Non inviateci e-mail per chiedere lumi o consigli, questa è una simulazione realistica, siete soli con l'immagine del supporto da analizzare, chi vuole può formare una squadra, poi tutta la squadra sarà citata nel report finale, che si andrà a redigere per descrivere tutto cioò che si è trovato, come lo si è trovato, con che software ed hardware, insomma un vero report tecnico.

Il report dovrà essere intestato alla Procura di Trantor (nome fittizio).

Chi ritiene di aver terminato dovrà inviarci via mail il report e i reperti trovati in file ZIP.

Il tempo massimo di esecuzione sarà di 10 gg e sarà stilata una classifica dei primi 5.

La classifica è basata sul numero di informazioni rinvenute e sul tempo impiegato.

Buona Caccia....

Ah dimenticavo....NON si vince niente :-P se non la pubblicazione dei primi 5 nei nostri siti e sul http://www.cfitaly.net

Update:

Sebbene il termine per l'invio delle soluzioni sia scaduto da tempo, potete continuare a scaricare l'immagine dd del game e cercare di risolverlo, qui troverete le soluzioni.
Le vostre opinioni, le problematiche che affronterete, le diverse
soluzioni che individuerete, o gli errori che commetterete ci
interessano assolutamente!!

Vi invitiamo
quindi a spedirci i vostri feedback (denisDOTfratiATcybercrimesDOTit -
nannibATliberoDOTit) in qualunque momento deciderete di partecipare a
questo game, non preoccupatevi se saranno passati mesi, o anni (sono
ottimista).

Licenza:

CFI game 2008 spring è pubblicato sotto licenza Creative Commons Attribuzione-Non commerciale-Non opere derivate 2.5 Italia License.

CFI game 2008 spring by Denis Frati & Nanni Bassetti is licensed under a Creative Commons Attribuzione-Non commerciale-Non opere derivate 2.5 Italia License.