Trucchi e Suggerimenti

William David Tanzer
Mi ritengo una persona molto fortunata. Ho una bella famiglia che mi supporta e svolgo un’attività che è la messa in profitto di una grande passione.
Sono nato professionalmente durante l’avvento dei primi personal computer e delle calcolatrici programmabili, quando la memoria di processore si calcolava in Kbytes, quella di massa in Mbytes e i floppy disk erano davvero molto “floppy”.
Al Politecnico di Milano, dove mi sono laureato in Ingegneria Elettronica, utilizzavamo per i nostri progetti il lettore di schede perforate!
Mi sono occupato di programmazione utilizzando l’assembler, il Pascal, Lisp, Visual Basic. Ho visto nascere Internet quando ci si collegava ancora a 1200 Baud e le aziende più evolute utilizzavano la rete Itapac.
L’hardware in generale, ma soprattutto i computer, mi emozionano ancora. Resto affascinato di fronte alla pulizia costruttiva di un server HP e alla capacità di creare dei sistemi potentissimi in uno spazio e con un peso sorprendentemente ridotto.
Questi trenta anni di boom informatico sono stati per me fonte di continui stimoli a occuparmi di cose nuove, di provare cose nuove e ad adottarle per la mia clientela.
Più recentemente, con la definizione di reati informatici, ho abbracciato la Computer Forensics, Informatica Forense, occupandomi esclusivamente della difesa delle persone e delle aziende che si trovano coinvolte in problemi giudiziari.
Questo connubio d’informatica e diritto ha unito alla prima la seconda passione della mia vita.
Tecniche e strumenti di antiforensics In evidenza

Tecniche e strumenti di antiforensics
Tecniche e strumenti di antiforensics
di David Tanzer
1. Introduzione
Solo recentemente l’anti-computer forensics è stata riconosciuta come legittimo argomento di studio (1) anche se, in realtà, l’anti-computer forensics è nata assieme alla computer forensics o, forse, anche prima che ci fosse un sua formalizzazione e definizione.
Con l’uscita sul mercato di Norton Commander per DOS v. 1.00 nel 1982 (2) che conteneva il programma UnErase, viene, di fatto, rivelato che la semplice cancellazione di un file non è un’azione definitiva e che quanto cancellato può essere recuperato.
Nei primi anni ’80, per quanto già disponibile il primo hard disk da 5” ¼ dalla capacità formattata di 5 MB (3) dai costi proibitivi, i personal computer utilizzavano Floppy disk da 5” ¼ per eseguire il sistema operativo, i programmi e per la memorizzazione dei dati. Possiamo ragionevolmente ritenere che il primo tool anti-forensics fu il distruggi documenti!
Dalla fine degli anni ’80 anche i computer economici cominciarono a essere dotati di supporti di massa fissi.
L’incremento negli anni seguenti dei computer in circolazione, la disponibilità crescente di mezzi d’interconnessione fra gli stessi e con la decisione del CERN il 30 aprile 1993 (4) di rendere pubblica la tecnologia alla base del web, ha portato con se la nascita dei crimini informatici, cioè fenomeni criminali che si caratterizzano nell’abuso della tecnologia informatica sia hardware che software. L’esigenza di punire i crimini informatici emerse già alla fine degli anni ’80 (raccomandazione sulla criminalità informatica del Consiglio d’Europa, 13 settembre 1989). (5)
La diffusione negli ultimi anni di nuovi dispositivi assimilabili a dei computer poiché dotati di processore, memoria, memoria di massa, dispositivi di input e output, sistemi operativi e applicazioni, ha sicuramente creato nuove sfide per gli investigatori ma anche nuove opportunità per l’individuazione delle fonti di prova.
Reimpostazione password amministratore di dominio 2008 persa, dimenticata o hackerata

Mi è capitato che un dipendente risentito con il suo datore di lavoro abbia deliberatamente cambiato la password di amministratore del server aziendale non comunicandola a chi di dovere.
Mi è stato chiesto di recuperare o resettare la password in modo tale da garantire l'accesso a chi autorizzato.
Ho proceduto come segue:
1) Ho resettato la password dell'amministratore locale del server. Per farlo si possono utilizzare vari programmi. Io ho utilizzato Offline NT Password & Registry Editor che potete trovare all'indirizzo
http://pogostick.net/~pnh/ntpasswd/.
2) Una volta resettala la password di amministratore locale del server, avviate il server premendo il tasto F8 e scegliete la modalita di ripristino servizi di directory. Al login cambiate utente ed entrate come amministratore per la macchina locale.
3) recuperate i programmi srvany.exe e instsrv.exe che potete trovare nel resource kit di windows 2003 server (vanno benissimo anche per 2008).
4) create una cartella, io ho creato in c la cartella tmp (c:\tmp) dove copierete dentro srvany.exe instsrv.exe e il programma cmd.exe (%windir%\system32\cmd.exe)
5) eseguite il prompt dei comandi, andate in c:\tmp e inserite il seguente comando: instsrv password "c:\tmp\srvany.exe"
6) Eseguite regedit e andate sulla chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Password
7) Create una sottochiave Parameters e apritela.
8) Inserite i seguenti valori:
Nuovo Valore striga, nominatelo Application e inserite il seguente valore: c:\tmp\cmd.exe
Nuovo Valore striga, nominatelo AppParameters e inserite il seguente valore: /k net user administrator P@ssw0rd /domain
P@ssw0rd è la password che verrà assegnata all'utente administrator. Se l''utente amministratore fosse diverso, sostituite administrator con lo user id dell'amministratore del vostro sistema.
9) Eseguite Pannello di Controllo -> Strumenti di amministrazione -> Servizi
10) Cercate il servizio Password, apritelo, impostate la modalità d'avvio su automatico. Nel tab Connessione flaggate "Consenti al servizio di interagire con il desktop"
11) Riavviate il server normalmente
12) Al ctrl+alt+canc utilizzate l'account amministratore che avrete reimpostato e introducete la password P@ssw0rd come inserita nei registri.
13) Una volta che sarete entrati nel desktop, eseguite nuovamente il prompt dei comandi e digitate in sequenza i seguenti comandi:
net stop password
sc delete password
14) Utilizzando Utenti e computer di active directory modificate la password dell''utente nel solito modo (opzionale).
Un microserver buono per ogni occasione

La hp ha nel suo listino un prodotto davvero interessante. Si chiama HP Proliant Microserver.
E' il prodotto ideale per realizzare, con poca spesa ma mantenendo un'ottima qualità, varie funzioni.
Come sistema di storage di rete (NAS): l'ho testato e installato usando differenti soluzioni software. Ottimi risultati con l'ultima versione di Freenas http://www.freenas.org/, software per NAS gratuito.
Installando Freenas su una USB Key da 8GB e dotando il Microserver di 4 Had Disk da 2GB si ottiene uno storage di rete in sicurezza RAID da 6 TB.
E' il prodotto perfetto per Windows Home Server 2011, software Microsoft per server casalinghi, dal costo di poche decine di Euro.
Lasciando il disco nativo da 250 GB e aggiungendo 3 dischi da 2 TB lo si può utilizzare per backuppare fino a 10 dispositivi utilizzando il software di backup in dotazione, oppure realizzare uno storage node per Acronis Backup & Recovery 11.
Ottimi risultati li ho poi ottenuti utilizzandolo con il potente software, gratuito per uso casalingo, Sophos UTM Home Edition http://www.sophos.com/it-it/products/free-tools/sophos-utm-home-edition.aspx. Questo software richiede, per configurarlo opportunamente, un po' di competenza e pazienza, ma ritengo ne valga la pena in quanto è uno dei migliori prodotti nel suo genere.
Per realizzare il sistema con Sophos UTM ho aggiunto alla versione base del Microserver due schede di rete a basso profilo.
Può essere ovviamente utilizzato in ambito aziendale utilizzando la versione UTM Essential Firewall, gratuita ma con molti limiti funzionali, oppure configurandolo con i vari add on a pagamento.
Le caratteristiche tecbniche sono le seguenti:
Linea prodotto: |
ProLiant |
Serie prodotto: |
MicroServer |
Modello prodotto: |
658553-421 |
Tipo prodotto: |
Server |
Processore e chipset |
|
Numero di processori installati: |
1 |
Produttore processore: |
AMD |
Tipo processore: |
Turion II Neo |
Modello processore: |
N40L |
Core processore: |
Dual core (2 Core ) |
Velocità processore: |
1,50 GHz |
Cache: |
2 MB |
Velocità HyperTransport: |
1600 MHz |
Processore 64-bit: |
Sì |
Produttore chipset: |
AMD |
Modello chipset: |
RS785E |
Memoria |
|
Memoria standard: |
2 GB |
Memoria massima: |
8 GB |
Tecnologia di memoria: |
DDR3 SDRAM |
Memoria standard: |
DDR3-1333/PC3-10600 |
Numero slot di memoria totale: |
2 |
Archiviazione |
|
Capacità totale hard disk: |
250 GB |
Interfaccia disco rigido: |
Serial ATA/300 |
RPM hard disk: |
7200 |
Tipo drive ottico: |
No |
Controller |
|
Tipo controller: |
Serial ATA |
Supporto RAID: |
Sì |
Livelli RAID: |
0, 1 |
Espansioni I/O |
|
Numero totale di bay di espansione: |
5 |
Numero bay 5.25" esterni: |
1 |
Numero di bays 3.5": |
4 |
Numero totale di slot di espansione: |
2 |
Numero di slot PCI Express x1: |
1 |
Numero di slot PCI Express x16: |
1 |
Display e grafica |
|
Produttore controller grafico: |
AMD |
Capacità memoria grafica: |
128 MB |
Accessibilità memoria grafica: |
Condiviso |
Tecnologia memoria grafica: |
DDR3 SDRAM |
Network & Communication |
|
Tecnologia ethernet: |
Gigabit Ethernet |
Interfacce/porte |
|
Numero totale porte USB: |
7 |
Numero porte USB 2.0: |
7 |
Rete (RJ-45): |
Sì |
VGA: |
Sì |
eSATA: |
Sì |
Descrizione alimentazione |
|
Numero di Alimentatori Installati: |
1 |
Alimentazione massima in Watt: |
150 W |
Varie |
|
Green compliant: |
Sì |
Certificato green compliance: |
WEEE |
Caratteristiche fisiche |
|
Forma: |
Ultra Micro Tower |
Altezza: |
267,0 mm |
Larghezza: |
211,0 mm |
Profondità: |
259,0 mm |
Peso (approssimativo): |
9,60 kg |
Garanzia |
|
Garanzia limitata: |
1 Anno/i |
Navigare in perfetto anonimato
Indubbiamente l'idea che l'attività svolta in internet possa essere in qualche modo tracciata può disturbare parecchio. Esistonono soluzioni fornite da vari operatori che consistono essenzialmente in sistemi proxy per la navigazione sul web che spesso risultano poco funzionali, ma, soprattutto, che valgono solo per la navigazione.
Una soluzione più completa la potrete trovare a questo indirizzo: http://www.yourprivatevpn.com/
Il sistema vi mette a disposizione una connessione VPN di ottime prestazioni. In questo modo l'IP di provenienza risulterà sempre quello fornito dall'operatore Your Private VPN.
Ovviamente, per ottenere il massimo dell'anonimato, è opportuno dotarsi di un Firewall in grado di gestire anche le connessioni in uscita.
Per Windows 7 esiste un buon prodotto che si integra con il firewall nativo. Si chiama Windows7FirewallControl ed è prodotto dalla Sphinx Software. Lo potrete trovare all'indirizzo http://www.sphinx-soft.com/Vista/
Bloccare sul nascere "Virus Polizia Postale - Guardia di Finanza" su windows 7

Questo fastidioso virus, che ha lo scopo di rubare i dati della carta di credito degli sprovveduti che seguono le sue indicazioni per la bonifica, a seconda delle varianti, può diventare di difficile rimozione.
In alcune varianti, non vi è più la possibilità di avviare il pc in modalità provvisoria, rendendo di fatto non applicabili le istruzioni che spesso vengono riportate in vari siti.
Per gli utilizzatori di Windows 7 c'è la possibilità di rimuoverlo sul nascere seguento le seguenti indicazioni:
Una volta che appare la schermata del virus Polizia Postale, premere ctrl-alt-canc e quindi click su disconnetti. Windows 7, per chiudere la sessione tenterà la chiusura automatica delle applicazioni aperte, fra cui anche il virus in questione.
Bisogna attendere che il virus venga chiuso e quindi, prontamente annullare la disconnessione premendo il pulsante annulla.
Così facendo siamo nella condizione di poter agire sul sistema. Dobbiamo a questo punto cercare il programma che lancia il virus (normalmente è mascherato in esecuzione automatica) e rimuovere le voci di lancio e il virus vero e proprio.
Un ottimo strumento per ricercare questa voce è Autoruns prodotto dalla Sysinternals
L'operazione descritta è fondamentale per permettere ad un vostro amico o a un tecnico, se non vi sentite in grado di agire in prima persona, ad intervenire da remoto permettendovi di risparmiare i costi di un intervento.
In caso di necessità potete contattarmi via mail o tramite il sito dal menù contattatemi.
David