DEFTCON 2012

DEFTCON 2012DEFTCON 2012

Xplico un Network Forensic Analysis Tool scalabile

Gianluca Costa

30 marzo 2012Palazzo di Giustizia di Torino

DEFTCON 2012

Temi trattatiTemi trattati

Scopo del progetto Architettura e flessibilità di Xplico Utilizzo come NFAT Esempio d'utilizzo Evoluzioni

DEFTCON 2012

Scopo del progettoScopo del progetto

Ricostruire i contenuti trasportati dalla rete (TCP/IP): pagine web, mail, chat, telefonate VoIP,.. Fornire uno strumento, un framework, flessibile e modulare Utilizzare risorse e conoscenze già disponibili alla comunità open source Raggiungere prestazioni e caratteristiche dello stesso livello di strumenti commerciali analoghi

DEFTCON 2012

Stato attualeStato attuale

Protocolli ricostruiti: - HTTP (pagine Web) - SMTP, POP, IMAP (mail) - MSN, FB Chat (IM) - SIP, MGCP, RTP (VoIP) - WebMail (Yahoo, GMail, Libero, Live, ...) - etc,

Per un totale di 44 protocolli

DEFTCON 2012

ArchitetturaArchitettura

Modularità:● Input (Capture Dissector)● Output (Dispatcher)● Protocolli (Dissector)

Indipendenza sia dalla forma dei dati in

ingresso che dalla forma dei dati (desiderata) in

uscita

DEFTCON 2012

Xplico come NFATXplico come NFAT

● Gestire le decodifiche● Decodificare i dati relativi ad un ampio arco temporale● Presentare i dati ricostruiti

Con la collaborazione di Stefano Fratepietro di DEFT Linux

● Multi utente● Interfaccia Web

DEFTCON 2012

DemoDemo

DEFTCON 2012

Sviluppi FuturiSviluppi Futuri

➔ Integrazione di nDPI (progetto nTOP)➔ Yahoo Chat➔ TLS/SSL (disponendo delle chiavi)➔ Skinny (VoIP)

DEFTCON 2012

Domande e RiferimentiDomande e Riferimenti

Domande, dubbi, perplessità ?

Riferimenti utili: Sito: http://www.xplico.org WebDemo: http://demo.xplico.org Wiki: http://wiki.xplico.org Forum: http://forum.xplico.org Email: g.costa@iserm.com a.defranceschi@iserm.com Sito: http://www.iserm.com