Post on 08-Jun-2015
DEFTCON 2012
DEFTCON 2012DEFTCON 2012
Xplico un Network Forensic Analysis Tool scalabile
Gianluca Costa
30 marzo 2012Palazzo di Giustizia di Torino
DEFTCON 2012
Temi trattatiTemi trattati
Scopo del progetto Architettura e flessibilità di Xplico Utilizzo come NFAT Esempio d'utilizzo Evoluzioni
DEFTCON 2012
Scopo del progettoScopo del progetto
Ricostruire i contenuti trasportati dalla rete (TCP/IP): pagine web, mail, chat, telefonate VoIP,.. Fornire uno strumento, un framework, flessibile e modulare Utilizzare risorse e conoscenze già disponibili alla comunità open source Raggiungere prestazioni e caratteristiche dello stesso livello di strumenti commerciali analoghi
DEFTCON 2012
Stato attualeStato attuale
Protocolli ricostruiti: - HTTP (pagine Web) - SMTP, POP, IMAP (mail) - MSN, FB Chat (IM) - SIP, MGCP, RTP (VoIP) - WebMail (Yahoo, GMail, Libero, Live, ...) - etc,
Per un totale di 44 protocolli
DEFTCON 2012
ArchitetturaArchitettura
Modularità:● Input (Capture Dissector)● Output (Dispatcher)● Protocolli (Dissector)
Indipendenza sia dalla forma dei dati in
ingresso che dalla forma dei dati (desiderata) in
uscita
DEFTCON 2012
Xplico come NFATXplico come NFAT
● Gestire le decodifiche● Decodificare i dati relativi ad un ampio arco temporale● Presentare i dati ricostruiti
Con la collaborazione di Stefano Fratepietro di DEFT Linux
● Multi utente● Interfaccia Web
DEFTCON 2012
Sviluppi FuturiSviluppi Futuri
➔ Integrazione di nDPI (progetto nTOP)➔ Yahoo Chat➔ TLS/SSL (disponendo delle chiavi)➔ Skinny (VoIP)
DEFTCON 2012
Domande e RiferimentiDomande e Riferimenti
Domande, dubbi, perplessità ?
Riferimenti utili: Sito: http://www.xplico.org WebDemo: http://demo.xplico.org Wiki: http://wiki.xplico.org Forum: http://forum.xplico.org Email: g.costa@iserm.com a.defranceschi@iserm.com Sito: http://www.iserm.com